serrvus,
zuerst mal, ichfange gerade an und habe keine wirklich tiefen Kenntniss. will sagen ich suche und kopiere, was mir sinnig erscheint.
z.Z. habe ich das von glazor zur Verfügung gestellte Minimal-script, welches ich ausführbar machte und per ./script aufrufe. sicher keine endgültige Lösung, aber ich sehe schon in der xconsole, es passiert einiges (eigendlich zuviel, weil so auch der esel fast völlig raus ist).
kurz mein System:
woody als Hauptrechner mit z.b. dem esel und ein w2k "dahinter". auf w2k läuft z.Z. noch eine Desktop-firewall (nicht zuletzt, weil glazor darauf hinwies, das sein kleines Script den 'gerouteten" Rechner nicht schützt).
nun habe ich mal einen Anfang getstartet und von Scripten hier und von dieser Site: http://www.linux-user.de/ausgabe/2002/0 ... all-4.html
versucht was zu schreiben(naja zusammenzuklauen). was sicher noch fehlt ist eine freigabe für die esel-ports.
Kann bitte trotzdem mal jemand eine Manöverkritik geben ? Danke
#devices definieren
IF_INT=eth0
IF_EXT=eth1
IF_LO=lo
#löschen der bestehenden Regeln
iptables -F
iptables -X
#drop everything
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# activate masquerading
iptables -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
#loopback erlauben
iptables -A INPUT -i $IF_LO -j ACCEPT
iptables -A OUTPUT -o $IF_LO -j ACCEPT
#öffnen von port 80,443 nach extern,bestehende Vrbindungen
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p TCP -m multiport --dport 80,443 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p UDP -m multiport --dport 80,443 -j ACCEPT
iptables -A FORWARD -i $IF_EXT -o $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_EXT -o $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#fehlermeldungen,von anderen Rechnern
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
#annehmen aller TCP-packete sämtlicher verbindungen
iptables -A INPUT -p tcp --dport 1024: ! --syn -j ACCEPT
#senden von anfragen nach DNS-servern
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
#annehmen der antwort von DNS t-online
nameserver=194.25.2.129
iptables -A INPUT -p udp -s $nameserver --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s $nameserver --sport 53 -j ACCEPT
#ICMP, Internet Control Messages, erlauben von Anfrage und Antwort
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
#protokoll, NETBIOS-> DROP, sonstige LOG
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
#verwerfen der Packete, die nicht angenommen werden; ablehnen FTP-anfragen
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP
#fehelermeldungen für abgehende TCP- UDP-packete
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP
ich habe schon auf der liuxguruz geguckt, nur leider hift mir das noch nicht. weitere links währen mir ganz lieb.
wenn das alles scheiß ist haltet Euch nicht zurück
gruß m.s.
noob bastelt iptables
.bittte nicht abschreiben..
.. wie ich nun auf anderem Weg erfuhr ist das von mir erstellte (oder eben zusammengeklaute) Script nicht zur Nachahmung empfohlen. Wohlwollend gesprochen ist es "unübersichtlich".
tja, so ist es wohl.
gruß
m.s.
tja, so ist es wohl.
gruß
m.s.