Firewallscripts

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
elvis00
Beiträge: 12
Registriert: 06.02.2003 19:26:56
Kontaktdaten:

Beitrag von elvis00 » 08.02.2003 10:06:20

hi,
wenn du iptables als modul kompiliert hast dann per modconf rein damit in den kernel.
andernfalls modul kompilieren oder direkt rein damit in den kernel.
am anfang ist es besser es in den kernel reinzukompilieren dann hast du ein problem weniger.
gruss
...may the packets be with you!!!!

trozmo
Beiträge: 288
Registriert: 05.01.2003 20:01:03
Kontaktdaten:

Beitrag von trozmo » 08.02.2003 12:12:47

ich dachte, iptables wäre eh schon im kernel drin.

arzie
Beiträge: 134
Registriert: 17.02.2002 15:51:03

Beitrag von arzie » 03.03.2003 20:53:48

muss das nicht so heissen?

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/16 -j DROP
Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 169.254/16 -j DROP
mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt

Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.

nenads
Beiträge: 21
Registriert: 11.05.2003 18:50:35
Wohnort: München

Beitrag von nenads » 15.05.2003 19:21:17

ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:

Code: Alles auswählen

Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!

Benutzeravatar
glatzor
Beiträge: 1769
Registriert: 03.02.2002 19:01:46
Wohnort: Vierkirchen bei München

Beitrag von glatzor » 15.05.2003 19:53:35

Welches Skript denn genau?

Und was für einen Kernel verwendest Du? Alle notwenidgen Module sind in den Standard 2.4 er Kernel enthalten:

"uname -r"

nenads
Beiträge: 21
Registriert: 11.05.2003 18:50:35
Wohnort: München

Beitrag von nenads » 15.05.2003 19:55:39

diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?
k-pl hat geschrieben:Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.

Code: Alles auswählen

#!/bin/sh

#-----------------------------------------------
# config
#-----------------------------------------------

IF_INT=eth0
IF_LO=lo

#-----------------------------------------------
# stopFirewall
#-----------------------------------------------

function stopFirewall() {

  # enable all package, but do not forward
  iptables -P INPUT ACCEPT
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  rmmod ip_conntrack_ftp
  rmmod ipt_LOG
}

#-----------------------------------------------
# startFirewall
#-----------------------------------------------

function startFirewall() {
modprobe ip_conntrack_ftp
modprobe ipt_LOG

  iptables -F
  iptables -X

  # drop everything
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP


  # allow everything from IF_LO
  iptables -A INPUT -i $IF_LO -j ACCEPT
  iptables -A OUTPUT -o $IF_LO -j ACCEPT

  # allow all related from IF_INT
  iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

  # allow all outgoing TCP connections to IF_INT
  iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT

  # logg all other destoryed packages
  iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
  iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn

}


###############################################################################
## Start-Stop-Script                                                         ##
###############################################################################

case "$1" in
start)
echo -n "Starting firewall: iptables"
startFirewall
echo "."
;;

stop)
echo -n "Stopping firewall: iptables"
stopFirewall
echo "."
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac

Benutzeravatar
glatzor
Beiträge: 1769
Registriert: 03.02.2002 19:01:46
Wohnort: Vierkirchen bei München

Beitrag von glatzor » 16.05.2003 11:06:48

Entschuldige, ich hatte überlesen, dass Du einen selbstkompilierten Kernel verwedendest. Und hier liegt auch das Problem. Du hast nicht alle notwendingen Module einkompiliert.

Füge alle iptables/netfilter Treiber als Module hinzu oder verwende einen Debian-Standard-Kernel.

Chimerer
Beiträge: 514
Registriert: 28.01.2002 16:10:44

Beitrag von Chimerer » 05.06.2003 15:13:26

Firewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.
nachzulesen in der neuen Firewall-Sektion von securityfocus.com

http://www.securityfocus.com/infocus/unix?topic=fwrules

Benutzeravatar
kox666
Beiträge: 393
Registriert: 14.12.2002 20:35:34
Wohnort: Nähe Leverkusen...
Kontaktdaten:

Beitrag von kox666 » 06.06.2003 17:48:22

k-pl hat geschrieben: # Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?

Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich :roll:

Gruß Marco
Computer sind nichts anderes als in Silizium geätzte Heimtücke!
- Michael Rüttger

Benutzeravatar
odradeck
Beiträge: 156
Registriert: 24.03.2003 20:58:57
Wohnort: Aachen

Beitrag von odradeck » 31.07.2003 22:43:03

*freu*
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.

Schönen Dank!


@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Di ... f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.

Gruss
odde
~ wer Rechtschreibfehler findet, darf sie behalten ~

Benutzeravatar
arnem
Beiträge: 324
Registriert: 27.03.2003 08:17:25
Wohnort: Flensburg
Kontaktdaten:

Beitrag von arnem » 29.08.2003 09:09:07

Hi @ all...

Habe mir das Lutel-Script mal angesehen. So schlecht dokumentiert ist es nicht.
Wo und wie konfiguriere ich aber Port-Forwarding?

Hintergrund:
zum Spielen und für P2P-Anwendungen muss ich Anragen auf Port XYZ von außen auf eine IP im LAN forwarden.
Grüße aus Flensburg,
Arne

carstenBLN
Beiträge: 20
Registriert: 08.10.2003 20:39:35

Beitrag von carstenBLN » 09.10.2003 01:12:20

mit

Code: Alles auswählen

iptables -t nat -A PREROUTING -p <dein_proto> -m <dein_proto> --dport <zielport> -j DNAT --to-destination <deine_workstation_ip:dein_wunschport>
Zum Beispiel: alle http-Anfragen von draußen auf ne Maschine im internen Netz auf nen anderen Port umbiegen:

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:81
Alle Anfragen auf die Wall-IP:80 werden jetzt auf 192.168.1.2:81 umgebaut.

carstenBLN
Beiträge: 20
Registriert: 08.10.2003 20:39:35

Ergänzung zum FW-Script

Beitrag von carstenBLN » 09.10.2003 01:16:27

Sinnvoll in jeder Wall als SYN-flood-Protection ist noch die Zeile

Code: Alles auswählen

iptables -I FORWARD -p TCP --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
wobei die 1/sec auch höher dürfen, je nach Anwendung. Bei nem Hochlast-Webserver kann's auch kleiner sein (zB 10/sec). Die meisten Workstations dürften eh ne Rule haben, die eingehende TCP-Anfragen unterbindet, aber schaden tut's trotzdem nicht.

copter
Beiträge: 26
Registriert: 31.01.2004 15:48:38
Kontaktdaten:

Beitrag von copter » 31.01.2004 15:56:31

warum wird in den policies bei INPUT erstmal alles erlaubt?

Code: Alles auswählen

# Default-Policies setzen - alles bis auf Weiterleitung erlaubt 
iptables -P INPUT ACCEPT 
ist es nicht sinvoller erstmal allen eingang zu verbieten?

Code: Alles auswählen

iptables -P INPUT DROP 
mfg
copter

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast