Frage zu Iptables

Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

Frage zu Iptables

Beitragvon Belldandy » So 11 Nov, 2001 14:16

<HTML>Hi !

Also ich hab einen Linux-Gateway laufen ( Slackware 8.0 / 2.4.12 )
Von diversen Sites hab ich versucht mir ein Iptables-Script zu erstellen, die einen guten Schutz bieten soll und masquering beinhaltet. Klappt alles wunderbar, nur eben das ich alle Policies auf ACCEPT stellen muss , was ja keinen schutz bietet ( oder ? )
Also konkret lässt mein Fw-Script keine Connection zu ( pptp 10.0.0.138 geht nicht) wenn ich INPUT DROP einstelle , der rest ist auf ACCEPT
Hier mein Fw-Script wie es zur Zeit aussieht:
----------------------------------------------------------------------------------------------------------------------
#!/bin/sh
#
# /etc/rc.d/rc.local: Local system initialization script.
#
# Put any local setup commands in here:


## Set default policies for the INPUT, FORWARD and OUTPUT chains


/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -P FORWARD ACCEPT

## Reset the default policies in the nat table.

/usr/sbin/iptables -t nat -P PREROUTING ACCEPT
/usr/sbin/iptables -t nat -P POSTROUTING ACCEPT
/usr/sbin/iptables -t nat -P OUTPUT ACCEPT

## Then flush all rules

/usr/sbin/iptables -F
/usr/sbin/iptables -t nat -F

## Erase all chains that's not default in filter and nat table.

/usr/sbin/iptables -X
/usr/sbin/iptlabes -t nat -X


#MASQUERIN


#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Below means 'route 192.168.1.x'
/usr/sbin/iptables -t nat -A POSTROUTING -d ! 192.168.0.0/24 -j MASQUERADE

/usr/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A FORWARD -s ! 192.168.0.0/24 -j DROP


----------------------------------------------------------------------------------------------------------------------

das hier ist nicht das ganze Script, der rest besteht nur noch aus Regeln welche Services zugelassen werden ( ftp,telnet,ssh..) etc.
Und eben mit diesen Regelnd wird keine Conncetion zugelassen :(

Welche Regel muss ich setzen, ohne den Input auf ACCEPT zu stellen, damit ich eine Connection aufbauen kann ?
</HTML>
Belldandy
 

RE: Frage zu Iptables

Beitragvon Manuel Capellari » So 11 Nov, 2001 15:34

>Klappt alles wunderbar, nur eben das ich alle Policies auf ACCEPT stellen muss
dann läuft generell was falsch in deinem script
Manuel Capellari
 

RE: Frage zu Iptables

Beitragvon Belldandy » So 11 Nov, 2001 17:34

<HTML>hmm...jo, ich hab jetzt nochmal alles angeschaut und alles entfernt was ich daweil nicht brauch, es geht daweil nur darum, das ich eine conncetion aufbauen
kann wenn INPUT DROP ist
---------------------------------------------------------------------------------------------
!/bin/sh
#
# /etc/rc.d/rc.local: Local system initialization script.
#
# Put any local setup commands in here:



## Set default policies for the INPUT, FORWARD and OUTPUT chains


/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P OUTPUT ACCEPT
/usr/sbin/iptables -P FORWARD ACCEPT

## Reset the default policies in the nat table.

/usr/sbin/iptables -t nat -P PREROUTING ACCEPT
/usr/sbin/iptables -t nat -P POSTROUTING ACCEPT
/usr/sbin/iptables -t nat -P OUTPUT ACCEPT

## Then flush all rules

/usr/sbin/iptables -F
/usr/sbin/iptables -t nat -F

## Erase all chains that's not default in filter and nat table.

/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -X


#MASQUERING

/usr/sbin/iptables -t nat -A POSTROUTING -d ! 192.168.0.0/24 -j MASQUERADE

/usr/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A FORWARD -s ! 192.168.0.0/24 -j DROP

echo 1 > /proc/sys/net/ipv4/ip_forward

-----------------------------------------------------------------------------------------------------------

so, mehr steht nicht drinnen und trotzdem klappt die Verbindung nicht :(</HTML>
Belldandy
 

RE: Frage zu Iptables

Beitragvon Gerhard » Mo 12 Nov, 2001 11:08

Bist du sicher, daĂź die IP-Adressen stimmen?
Gerhard
 

RE: Frage zu Iptables

Beitragvon Belldandy » Mo 12 Nov, 2001 13:32

<HTML>hmm..ja, soweit ich seh mĂĽssten die IP's stimmen, die aber nur fĂĽrs Masq gebraucht werden.
Stell ich jedoch /usr/sbin/iptables -P INPUT auf ACCEPT klappt die Verbindung
Welche Regel brauch ich , damit er eine ppp0 connection zulässt ,auch wenn /usr/sbin/iptables -P INPUT auf DROP steht ?</HTML>
Belldandy
 

RE: Frage zu Iptables

Beitragvon Belldandy » Mo 12 Nov, 2001 16:49

ahhh...so jetzt hab ichs,folgendes hab ich jetzt eingefĂĽgt und nun gehts:

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP

iptables -A INPUT -j block
iptables -A FORWARD -j block

sorry das ich generft hab :)

bb
Belldandy
 

RE: Frage zu Iptables

Beitragvon [KB]Flipper » Di 13 Nov, 2001 12:32

genervt?
ich hab auch grade vor dass ich iptables installiere (bzw. konfiguriere), und ich denk der Thread hilft mir weiter!
also von nerven keine Rede, eher das Gegenteil ;-)
mfg
[KB]Flipper
[KB]Flipper
 


ZurĂĽck zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 35 Gäste