On Thu, Jan 09, 2003 at 03:07:32PM +0100, Christian Hüning wrote: > Ich hab grade ein Problem mit meinem Iptablesscript. > (Hoffe mal dass das in diese Maillinglist passt) Klar, immer her damit. > Und zwar habe ich einen cyrus mailserver laufen und rufe e-mails per > fetchmail von meinen web.de konten ab. Soweit klar. > Nun wird doch die Standart Policy immer ans Ende eine Tabelle gestellt > (oder?), Verstehe ich nicht. Die Reihenfolge der Firewall-Regeln legst du selbst fest. Oder meinst du damit, dass die letzte Regeln sinnvollerweise eine DROP-Regel ist? Dann wuerde ich zustimmen. > ich setze die Input Policy also auf DROP und splitte die 2 Interfaces, > die ich habe auf. Einmal für Lan und einmal fürs Internet. Du kannst auch als Parameter "-i" angeben, um festzulegen, welches Interface diese Regel betreffen soll. > Lab bekommt unbeschränkten Zugriff und Internet hat folgende Regeln: > /usr/sbin/iptables -A INPUT -i ppp0 --jump bad-in Das wuerde ich ueber "-i" machen. > /usr/sbin/iptables -A bad-in -p tcp -m state --state > RELATED,ESTABLISHED -j ACCEPT Okay. > /usr/sbin/iptables -A bad-in -p udp -m state --state > RELATED,ESTABLISHED -j ACCEPT Bei UDP kann es kein "established" geben. > /usr/sbin/iptables -A bad-in -p tcp --dport domain -j ACCEPT Wenn du keinen AXFR (DNS-Zone-Transfer) erlauben willst, solltest du daraus lieber "udp" machen. > /usr/sbin/iptables -A bad-in -p udp --dport pop3 -j ACCEPT POP3 ueber UDP? Waere mir neu. Weg damit! > /usr/sbin/iptables -A bad-in -p tcp --dport pop3 -j ACCEPT Das wuerde bedeuten, dass die Leute bei *dir* Emails ueber POP3 abholen. Das brauchst du nicht. > /usr/sbin/iptables -A bad-in -p tcp --dport www -j ACCEPT Damit erlaubst du Leuten Zugriff auf dem HTTP-Port bei dir. Willst du das? > /usr/sbin/iptables -A bad-in -p tcp --dport https -j ACCEPT Dito fuer HTTPS. > /usr/sbin/iptables -A bad-in --jump DROP Die letzte Regel ist ansich okay. Wenn ich aber nichts uebersehen habe, fehlt dir eine Regel, die die Pakete ueberhaupt ueber ppp0 ins Internet erlaubt. > Ist nun also Input Policy auf DROP kann ich auf dem Linux Rechner > nicht mehr surfen (w3m) und der Windows Client kann keine Mails mehr > empfangen und komischerweise auch nicht senden... Ist wahrscheinlich > irgendwas total Blödes aber was? Ausserdem solltest du pruefen, ob du das Routing aktiviert hast: "cat /proc/sys/net/ipv4/ip_forward" Sollte "1" ausspucken. Sorry, wenn meine Umlaute gerade Gruetze sind. Bin auf der Konsole. Das entschuldigt aber nicht, dass deine Zeilen zu lang sind. Ja, ja, ich weiss, Outlook. ;) Alternativ kannst du uebrigens auch den "fwbuilder" benutzen, um die Regeln zu erzeugen. Ist ein X-GUI-Frontend fuer iptables/netfilter und ipchains. Christoph -- The hardest part of installing Debian is to think of a hostname.
Attachment:
pgpa_GMTFMFGT.pgp
Description: PGP signature