Re: [Debian]:firewall: ipchains rules

To: Matthias Wolle <ma_wo@gmx.de>
Cc: debian-user-de@jfl.de
Subject: Re: [Debian]:firewall: ipchains rules
From: Joerg Friedrich <Joerg.Dieter.Friedrich@uni-konstanz.de>
Date: Wed, 17 May 2000 19:27:08 +0200 (CEST)
Message-id: <[🔎] Pine.LNX.4.10.10005171859090.2074-100000@goodhope.terrania.city>
In-reply-to: <[🔎] 00051705185400.00943@Chandra>

On Wed, 17 May 2000, Matthias Wolle wrote:

> Hallo 
> 
> Ich wollt bevor ich eine feste öffentliche IP bekomme meine Rechner dicht machen
> leider komme ich trotz http://www2.little-idiot.de/firewall/zusammen.html
> nicht weiter :(
> 
> folgende Situation:
> linux 2.2 mit 2.2.14 kernel als firewall und router
> eth0 =192.168.65.23 per dhcp (Internet-connection)
> eth1=192.168.1.1	  Intrannet
> bind laueft auf der firewall
> es soll kein Dienst der firewall  (bis auf ssh,  hat aber nicht
> prio)  aus dem Internet erreichbar sein 
> aus dem Intranet soll ins internet geroutet werden
> ping/traceroute/icq/quake3/irc ... etc soll weiterhin funktionieren

ok, mal ein paar fragen vorneweg: 
 - Sind die Routen insbesondere die default-route richtig gesetzt?
 - ist ip_masquerading im kernel aktiviert?
 - sind die module fuer ftp, quake ... im masquerading vorhanden?
 - klappt der zugriff VON der firewall nach extern?

als erstes mach Dir das leben leichter und definiere in deinem
firewall-script variablen. so kannst Du auf veraenderte ipadressen
einfacher reagieren, und da Du per dhcp eine adresse zugewiesen bekommst,
musst Du sowieso dem firewall-script die adresse uebergeben und die
firewall-rules anpassen lassen.
also z.b.

---
#/bin/sh

IPCHAINS=/sbin/ipchains # ich bin schreibfaul :-)
localhost="127.0.0.1/8"
intranet="192.168.1.0/24"
ip_intern="192.168.1.1/32"
if_intern="eth1"
any="0.0.0.0/0"
ip_extern="192.168.65.23/32" # ggf. ip_extern=$1 wenn die ipadresse dem
script als parameter uebergeben werden soll.
if_extern="eth0"

# und dann mal los.
#

$IPCHAINS -P input DENY
$IPCHAINS -P output DENY
$IPCHAINS -P forward DENY
...
---

Meine Vorgehensweise:

zum testen wuerde ich erst mal alles auf accept setzen und nur das
masquerading einrichten. wenn das dann problemlos laeuft, kannst Du es
angehen, schritt fuer schritt die firewall aufzubauen. Wenn Du alles
gleichzeitig probierst, ist es immer unuebersichtlich und erschwehrt die
fehlersuche. Ausserdem bist Du ja wohl noch nicht mit einer oeffentlichen
ip verbunden, das risiko ist also gering



> 
> #flush 
> /sbin/ipchains -F input
> /sbin/ipchains -F output
> /sbin/ipchains -F forward
> 
> #lokale Dienste ueber loopback akzeptieren
> /sbin/ipchains -A input -i lo -j ACCEPT
> #Ist das nötig? 
aber ja :-) s
 
> #alles aus dem lokalem netz zum gateway akzeptieren 
> /sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.1.1 -i eth1 -j ACCEPT
> 
> #gesamte tcp aus dem Internet akzeptieren aber nur mit ack bit !?
> /sbin/ipchains -A input -s 0.0.0.0/0 -d 192.168.65.23 -p tcp ! -y -i eth0  -j ACCEPT
> 
> #verbindung ins Internet ermöglichen
> /sbin/ipchains -A output -s 192.168.65.23 -d 0.0.0.0/0 -i eth0 -j ACCEPT
> 
> #interne Kommunikation ermöglichen?!?
> /sbin/ipchains -A output -s 192.168.1.1 -d 192.168.1.0/24 -i eth1 -j ACCEPT 
> 
> # don't masq internal-internal traffic
> /sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> # don't masq external interface direct
> /sbin/ipchains -A forward -s 192.168.65.0/24 -d 0.0.0.0/0 -j ACCEPT
> # masquerade all internal IP's going outside     
> /sbin/ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQ
> #muss ich hier noch sowas wie einen Rueckkanal aufmachen??
> 
> # deny alles andere
> /sbin/ipchains -P input  DENY 
> /sbin/ipchains -P output  DENY 
> /sbin/ipchains -P forward DENY
> 
> z.Z. funktioniert nicht mal http :((
> 
> Für jede Hilfe dankbar  
> 
> Matthias
> 
> ------------------------------------------------
> Um sich aus der Liste auszutragen schicken Sie
> bitte eine E-Mail an majordomo@jfl.de die im Body
> "unsubscribe debian-user-de <deine emailadresse>"
> enthaelt.
> Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
> ------------------------------------------------
> Anzahl der eingetragenen Mitglieder:     723
> 

-- 
Heute ist nicht alle Tage, ich komme wieder, keine Frage!!!

   Joerg

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     723

Reply to:

Follow-Ups:
- Re: [Debian]:firewall: ipchains rules
  - From: Christian Schrader <Christian.Schrader@gmx.de>
- Re: [Debian]:firewall: ipchains rules
  - From: Matthias Wolle <ma_wo@gmx.de>

References:
- [Debian]:firewall: ipchains rules
  - From: Matthias Wolle <ma_wo@gmx.de>

Prev by Date: Re: [Debian]:Weisser Kasten als Cursor???
Next by Date: Re: [Debian]:Zeitschrift: Linuxer sind Kulturverweigerer!
Previous by thread: [Debian]:firewall: ipchains rules
Next by thread: Re: [Debian]:firewall: ipchains rules
Index(es):
- Date
- Thread