Re: 2 Firewall-Fragen

To: debian user de <debian-user-de@jfl.de>
Subject: Re: 2 Firewall-Fragen
From: Joerg Friedrich <Joerg.Dieter.Friedrich@uni-konstanz.de>
Date: Tue, 13 Feb 2001 22:09:47 +0100
Message-id: <[🔎] 20010213220947.A9687@mail.terrania.city>
Mail-followup-to: debian user de <debian-user-de@jfl.de>
In-reply-to: <[🔎] 20010213185518.B337@debian>; from Ulrich Wiederhold on Tue, Feb 13, 2001 at 06:55:19PM +0100
References: <[🔎] 20010213185518.B337@debian>

Ulrich Wiederhold schrieb am Dienstag, 13. Februar 2001 um 18:55:19 +0100:
> Ich weiß einfach nicht mehr weiter. Zur Zeit nutze ich folgendes Script:
> #!/bin/sh
> # Firewallscript
> # /etc/rcS.d/S98firewall
> 
> echo "Starte Firewall... "
> 
> # Nun müssen die Interfaces und IP - Nummern alle zugewiesen werden.
> EXTERNES_INTERFACE="eth0"
> 
> # Module laden
> insmod ip_tables
> 
> # Lösche alle Filter
> iptables -F INPUT
> iptables -F FORWARD
> iptables -F OUTPUT
> 
> # Default Policy
> iptables -P INPUT DROP  #input drop
> iptables -P FORWARD DROP        #forward drop
> iptables -P OUTPUT DROP #output drop
> 
> # LogRegeln, erstmal alles loggen, dann droppen
> iptables -F droplog
> iptables -N droplog
> iptables -A droplog -j LOG
> iptables -A droplog -j DROP
> 
> # Anti spoofing Regeln
> iptables -A INPUT -s 127.0.0.1/255.0.0.0 -i ! lo -j droplog
> 
> # Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen
> # von innen
> iptables -N block
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --state NEW -i ! $EXTERNES_INTERFACE -j
> ACCEPT

die regel verstehe ich jetzt nicht. ok du laesst nur ESTABLISHED,RELATED von 
aussen zu, aber dann doch auch NEW? das ist doch wiedersinnig! lass die
zweite mal weg.

> iptables -A block -j DROP
hier wuerde ich auch mal -j droplog nehmen, sonst bringt das logging ja nix.
dann findest Du vielleicht auch was in /var/log/kern.log :-)))

 
> # Kette erstellen, die ausgehenden Traffic erlaubt
> iptables -N allout
> iptables -A allout -i $EXTERNES_INTERFACE -j ACCEPT
                     ^^ 
manpage von iptables genauer lesen! -i ist nur bei 
den chains INPUT, FORWARD und PREROUTING erlaubt
bei OUTGOING _mußt_ Du -o nehmen!!!

> iptables -A allout -j DROP

hier wielleicht auch ein -j droplog 
sonst wird ja auch nix geloggt

> # Von INPUT und FORWARD Ketten zur Kette block springen

vielleicht erleichtert ein
iptables -A INPUT -i lo -j ACCEPT 
Deinem Rechner die interne Kommunikation :-)

> iptables -A INPUT -j block
> iptables -A FORWARD -j block
> 
> # Von OUTPUT Kette zur Kette allout springen

dto.
iptables -A OUTPUT -o lo -j ACCEPT

> iptables -A OUTPUT -j allout

wie schon jemand geschrieben hat: warum kompliziert, wenn Du nur
2 regeln hast kannst mußt Du nicht unbedingt den umweg über eine 
seperate chain gehen!

> -------------------------------------------------------------
> 
> Das gibt folgende Ausgabe:
> debian:/home/fzzgrr# ./S98new 
> Starte Firewall... 
> Using /lib/modules/2.4.1/kernel/net/ipv4/netfilter/ip_tables.o
> iptables: No chain/target/match by that name

in  
iptables -F droplog
am anfang
Du versuchst einen Chain zu leeren, die es noch nicht gibt.
Bei mir ist das drin, weil ich mein firewall-script nach jedem 
einwahlvorgang automatisch aufrufe, um die regeln an die neue
dyn. ip-addresse anzupassen


> Wo der Fehler liegt habe ich noch nicht herausgefunden.
> --------------------------------------------------------------

-- 
Heute ist nicht alle Tage, ich komm' wieder, keine Frage!!!

   Joerg

Reply to:

Follow-Ups:
- Re: 2 Firewall-Fragen
  - From: Ulrich Wiederhold <U.Wiederhold@gmx.net>

References:
- [Debian] 2 Firewall-Fragen
  - From: Ulrich Wiederhold <U.Wiederhold@gmx.net>

Prev by Date: Re: [Debian] 2 Firewall-Fragen
Next by Date: Re: Mutt-Bedienung: Auswahl von Empfängern
Previous by thread: Re: [Debian] 2 Firewall-Fragen
Next by thread: Re: 2 Firewall-Fragen
Index(es):
- Date
- Thread