Re: 2 Firewall-Fragen
Ulrich Wiederhold schrieb am Dienstag, 13. Februar 2001 um 18:55:19 +0100:
> Ich weiß einfach nicht mehr weiter. Zur Zeit nutze ich folgendes Script:
> #!/bin/sh
> # Firewallscript
> # /etc/rcS.d/S98firewall
>
> echo "Starte Firewall... "
>
> # Nun müssen die Interfaces und IP - Nummern alle zugewiesen werden.
> EXTERNES_INTERFACE="eth0"
>
> # Module laden
> insmod ip_tables
>
> # Lösche alle Filter
> iptables -F INPUT
> iptables -F FORWARD
> iptables -F OUTPUT
>
> # Default Policy
> iptables -P INPUT DROP #input drop
> iptables -P FORWARD DROP #forward drop
> iptables -P OUTPUT DROP #output drop
>
> # LogRegeln, erstmal alles loggen, dann droppen
> iptables -F droplog
> iptables -N droplog
> iptables -A droplog -j LOG
> iptables -A droplog -j DROP
>
> # Anti spoofing Regeln
> iptables -A INPUT -s 127.0.0.1/255.0.0.0 -i ! lo -j droplog
>
> # Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen
> # von innen
> iptables -N block
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --state NEW -i ! $EXTERNES_INTERFACE -j
> ACCEPT
die regel verstehe ich jetzt nicht. ok du laesst nur ESTABLISHED,RELATED von
aussen zu, aber dann doch auch NEW? das ist doch wiedersinnig! lass die
zweite mal weg.
> iptables -A block -j DROP
hier wuerde ich auch mal -j droplog nehmen, sonst bringt das logging ja nix.
dann findest Du vielleicht auch was in /var/log/kern.log :-)))
> # Kette erstellen, die ausgehenden Traffic erlaubt
> iptables -N allout
> iptables -A allout -i $EXTERNES_INTERFACE -j ACCEPT
^^
manpage von iptables genauer lesen! -i ist nur bei
den chains INPUT, FORWARD und PREROUTING erlaubt
bei OUTGOING _mußt_ Du -o nehmen!!!
> iptables -A allout -j DROP
hier wielleicht auch ein -j droplog
sonst wird ja auch nix geloggt
> # Von INPUT und FORWARD Ketten zur Kette block springen
vielleicht erleichtert ein
iptables -A INPUT -i lo -j ACCEPT
Deinem Rechner die interne Kommunikation :-)
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
>
> # Von OUTPUT Kette zur Kette allout springen
dto.
iptables -A OUTPUT -o lo -j ACCEPT
> iptables -A OUTPUT -j allout
wie schon jemand geschrieben hat: warum kompliziert, wenn Du nur
2 regeln hast kannst mußt Du nicht unbedingt den umweg über eine
seperate chain gehen!
> -------------------------------------------------------------
>
> Das gibt folgende Ausgabe:
> debian:/home/fzzgrr# ./S98new
> Starte Firewall...
> Using /lib/modules/2.4.1/kernel/net/ipv4/netfilter/ip_tables.o
> iptables: No chain/target/match by that name
in
iptables -F droplog
am anfang
Du versuchst einen Chain zu leeren, die es noch nicht gibt.
Bei mir ist das drin, weil ich mein firewall-script nach jedem
einwahlvorgang automatisch aufrufe, um die regeln an die neue
dyn. ip-addresse anzupassen
> Wo der Fehler liegt habe ich noch nicht herausgefunden.
> --------------------------------------------------------------
--
Heute ist nicht alle Tage, ich komm' wieder, keine Frage!!!
Joerg
Reply to: