[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: minimaler iptables Eintrag

Hi,

> mein script sieht vollständig so aus:
> _______________
> 
> #!/bin/sh
> 
> 
> insmod ip_tables
> insmod ip_conntrack
> insmod ip_conntrack_ftp
> insmod ipt_state
> insmod iptable_nat
> insmod ipt_MASQUERADE
> 
> iptables -F
> 
> iptables -N block
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
> iptables -A block -j DROP
> 
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
> 
> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward

Also, ich habe mein iptables-Script aus einem Linux-User-Artikel (ist
schon ein bisschen länger her). Da sind teilweise auch Regeln drin,
die ich nicht brauche, glaube ich, aber ich poste einfach mal das,
was ich zu Forwarding und Masquerading habe
(dabei ist eth0 fürs DSL-Modem, also ppp0; eth1 ist internes Netz)

----snip

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr


iptables -t nat -F

# Ankommende Pakete
iptables -A FORWARD -i ppp0 -o eth1 -m state --state
ESTABLISHED,RELATED -j ACCEPT

# Abgehende Pakete
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT

# Masquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

----snap

> trotzdem kann vom windowsclient von meinem homebankingprogramm keine
> 
> internetverbindung aufgebaut werden (es erkennt aber, dass es eine 
> lan-verbindung gibt). 

IMHO prüfen neuere Windoof-Versionen, ob das Netzwerkkabel auf beiden
Seiten eingesteckt ist. Das ist dann die erkannte LAN-Verbindung.
Heisst aber noch lange nicht, dass auch die Pakete diesen Weg finden.

> vom Browser aus klappt alles. Die von der
> hotline meinen, daß eine firewall irgendwelche Pakete unterdrücken
> oder ports nicht freigegeben.

Wie schon vorher gepostet, mal die Policy auf Accept stellen,
dann werden von den Regeln erstmal keine Pakete verworfen.

iptables -F # alle vorhandenen Regeln löschen
iptables -P INPUT    ACCEPT # alles was reinkommt, wird akzeptiert
iptables -P FORWARD  ACCEPT # alles wird geforwardet 
iptables -P OUTPUT   ACCEPT # alles was rausgeht, wird akzeptiert


-- 
Gruss
Holger


==================================================================
Created with Sylpheed 0.9.6-claws 
	under Debian GNU LINUX 3.0 Woody.
		Registered LinuxUser #311290
			Spam filtering powered by Spamassassin.org
==================================================================
Reply to: