Re: Routing/NAT

To: debian-user-german@lists.debian.org
Subject: Re: Routing/NAT
From: Peter Baumgartner <open@bssmusic.de>
Date: Wed, 15 Dec 2004 18:38:10 +0100
Message-id: <[🔎] 200412151838.10308.open@bssmusic.de>
In-reply-to: <[🔎] 20041215163834.GA6214@kaufbach.delug.de>
References: <[🔎] 200412141058.51869.open@bssmusic.de> <[🔎] 200412151703.26414.open@bssmusic.de> <[🔎] 20041215163834.GA6214@kaufbach.delug.de>

Am Mittwoch, 15. Dezember 2004 17:38 schrieb Andreas Kretschmer:
> am  Wed, dem 15.12.2004, um 17:03:26 +0100 mailte Peter Baumgartner 
folgendes:
[...]
> >  iptables -F
> >  iptables -F -t nat
> >
> >  iptables -F sperre
> >  iptables -X sperre
> >  iptables -N sperre
> >  iptables -F sperre
>
> Eine neu angelegte Kette ist leer.
>
> Ab jetzt saugt Dein Umbruch...
sorry, hatte es gecopypasted
>
> >  # first contact #
> >  #################
> >  iptables -A sperre -i eth1 -s ! 192.168.56.0/255.255.255.0 -j DROP #
> > Alles aus dem lan ohne passende IP wegwerfen
> >  iptables -A sperre -i eth1 -j ACCEPT # Sonst alles von eth0 erlauben
> > (Hier
>
> eth1 ist lan, eth0 inet?
genau, bzw. DMZ, es zielt auf eine Fritzbox fon
>
> > sollte man aufpassen, was man den Usern gewähren will und sich vor
> > Trojanern schützen.)
[...]
> >  # sperre aktivieren #
> >  #####################
> >  iptables -A INPUT -j sperre
> >  iptables -A FORWARD -j sperre
> >  iptables -P INPUT DROP
> >  iptables -P FORWARD DROP
>
> Es ist IMHO sinnvoller, die Policy am Anfang zu setzen.
Ich dachte, man muß erst die erlaubte, dann die verbotenen setzen?
>
> >  iptables -P OUTPUT ACCEPT # output immer annehmen (nochmal ein
> > Trojanerhinweis...)  # ????????? was muß da hin??
>
> Welche Dienste _außen_ sollen erlaubt sein? Du könntest z.B. in FORWARD
> für Deine Clients expliziet nur DNS erlauben und z.B. für Webzugriffe
> einen Proxy erzwingen. Machbar ist vieles, auch was Tunnel anbelangt.

Gut
>
> >  iptables -P OUTPUT ACCEPT -t nat
> >
> >  # NAT #
> >  #######
> >  iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird
> > maskiert
> > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 4100:4115 -j DNAT
> > --to 192.168.56.2 # icq soll an einen anderen Rechner geleitet werden #  
> >             ???? Hm, wieso an einen?
> > # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 21 -j DNAT --to
> > 192.168.0.2 # ftp genauso          # ????Hm, an meinen noch nicht
> > aufgesetzten ftp-Server?
>
> Wenn FTP gehen soll, lade evtl. noch die dazu nötigen conntrack-Module.

Stimmt, hatte ich vergessen, squid kann ja kein ftp

> Ob ICQ sowas braucht, weiß ich grad nicht.
>
> >  echo "Firewall started"
> >
> > ----------------snap------------------
> >
> > Das scheint, in einer shell gestartet, soweit zu funktionieren, wie
> > iptables -L ausgibt. Die Frage ist, ob das schon reicht, so ganz kapiert
> > habe ich das
>
> Auf den ersten Blick und unter Beachtung der Tatsache, daß ich Deine
> Wünsche nicht kenne, mag das okay sein.
>
> > noch nicht. Bei Suse würde das dann von Yast nach rc.init.d kopiert,
> > ausführbar gesetzt und in die Runlevel verlinkt. Wohin genau und an
> > welche Position (etc/rc3.d ca 20, kurz vor exim?) das bei Debian muß,
> > weiß ich auch nicht, aber das wird schon noch.
>
> Du kannst es _VOR_ dem Netzwerk starten.

OK, Danke
Peter

Reply to:

References:
- Routing/NAT
  - From: Peter Baumgartner <open@bssmusic.de>
- Re: Routing/NAT
  - From: Peter Baumgartner <open@bssmusic.de>
- Re: Routing/NAT
  - From: Andreas Kretschmer <andreas_kretschmer@despammed.com>

Prev by Date: [OT] Festplattentool
Next by Date: gnadenlos OT: Webseiten mit Applets und unser aller IE
Previous by thread: Re: Routing/NAT
Next by thread: Re: Routing/NAT
Index(es):
- Date
- Thread