I dont know if this script is secure Can someone check this script and say me something about it?? is this an secure solution??? if not please send my messages why not #!/bin/sh ipchains -F ipchains -P input ACCEPT ipchains -P forward ACCEPT ipchains -P output ACCEPT #internes lan angeben (eigenes lan) intlan=10.10.10.0/24 intip=10.10.10.254 #externe ip angeben (chello) extip=212.186.XXX.XXX #masqrechner angeben rechner1=10.10.10.26 rechner2=10.10.10.25 rechner3=10.10.10.27 #aussenstellen angeben aussen1=212.17.xxx.xxx #firma aussen2=212.186.xxx.xxx #helmut ######## Totales Verbot für chello proxies wegen des Masq ################ # man könnte ja was merken +hehe+ durch surfanalysen frechheit aber auch ### ipchains -A input -b -i eth1 -s $extip -d 195.34.133.60 -j DENY ipchains -A input -b -i eth1 -s $extip -d 195.34.133.61 -j DENY ipchains -A input -b -i eth1 -s $extip -d 195.34.133.62 -j DENY ipchains -A input -b -i eth1 -s $extip -d 195.34.133.63 -j DENY ipchains -A input -b -i eth1 -s $extip -d 195.34.133.64 -j DENY ipchains -A input -b -i eth1 -s $extip -d 195.34.133.65 -j DENY ipchains -A input -b -i eth1 -s $extip -d 195.34.133.66 -j DENY ############################################################################ ######################### #loopback ######################################## ipchains -A input -b -i lo -s $extip -d 127.0.0.0/24 -j ACCEPT #loopback ipchains -A input -b -i lo -s $intip -d 127.0.0.0/24 -j ACCEPT #loopback ipchains -A input -i lo -s $intip -d $intip -j ACCEPT #loopback loopback ipchains -A input -i lo -s $extip -d $extip -j ACCEPT #loopback loopback ipchains -A input -i lo -s 127.0.0.0/24 -d 127.0.0.0/24 -j ACCEPT #loopback loopback ############################################################################ ipmasqadm portfw -a -P tcp -R $extip 3333 -L 10.10.10.26 3333 ipmasqadm portfw -a -P udp -R $rechner2 5900 -L $extip 5900 ipmasqadm portfw -a -P tcp -R $rechner2 5900 -L $extip 5900 ######################### TEST ############################################# ######################### TESTENDE ######################################### ######### battlecom für gamers ############################################# ipmasqadm autofw -A -r udp 2300 2400 -h $rechner1 ipmasqadm autofw -A -r tcp 2300 2400 -h $rechner1 ipmasqadm autofw -A -r tcp 47624 47634 -h $rechner1 ipmasqadm autofw -A -r udp 47624 47634 -h $rechner1 ipmasqadm autofw -A -r udp 28800 28900 -h $rechner1 ######### generell ######################################################### ipchains -A input -b -i eth1 -p tcp -s $extip 1024:65532 -d 0.0.0.0/0 -j ACCEPT ipchains -A input -b -i eth1 -p udp -s $extip 1024:65532 -d 0.0.0.0/0 -j ACCEPT ipchains -A input -b -i eth1 -p tcp -s $extip 113 -d 0.0.0.0/0 -j ACCEPT ######### interne berechtigungen ########################################### ipchains -A input -b -i eth1 -s $extip -d $aussen1 -j ACCEPT ipchains -A input -b -i eth1 -s $extip -d $aussen2 -j ACCEPT ipchains -A input -b -i eth0 -s $extip -d $intip -j ACCEPT ######### SSH ############################################################## ipchains -A input -b -i eth1 -p tcp -s $extip 22 -d $aussen2 -j ACCEPT ######### FTP ############################################################## # ipchains -A input -b -i eth1 -p tcp -s $extip 21 -d 0.0.0.0/0 -j ACCEPT ######### HTTP ############################################################# ipchains -A input -b -i eth1 -p tcp -s $extip 80 -d 0.0.0.0/0 -j ACCEPT ipchains -A input -b -i eth1 -p tcp -s $extip -d 0.0.0.0/0 80 -j ACCEPT ######### DNS ############################################################## ipchains -A input -b -i eth1 -p 17 -s $extip -d 0.0.0.0/0 53 -j ACCEPT ipchains -A input -b -i eth0 -p 17 -s $intlan -d 0.0.0.0/0 53 -j ACCEPT ######### SENDMAIL ######################################################### ipchains -A input -b -i eth1 -p tcp -s $extip -d 0.0.0.0/0 25 -j ACCEPT ipchains -A input -b -i eth1 -p tcp -s $extip 25 -d 0.0.0.0/0 -j ACCEPT ######### 10erlan ########################################################## ipchains -A input -b -i eth0 -s $intlan -d $intip -j ACCEPT ipchains -A input -b -i eth0 -s $intlan -d 0.0.0.0/0 -j ACCEPT ######### masqueradin ###################################################### # ipchains -A forward -s $rechner3 -d 0.0.0.0/0 -j MASQ ipchains -A forward -s $rechner2 -d 0.0.0.0/0 -j MASQ ipchains -A forward -s $rechner1 -d 0.0.0.0/0 -j MASQ ######### ping ############################################################# ipchains -A input -b -p icmp -i eth1 -s $extip -d 0.0.0.0/0 -j ACCEPT ######### Der rest ist verboten ############################################ ipchains -A input -b -p 17 -d 0.0.0.0/0 -s $extip 520 -j DENY #der rechner will immer ins chello lan auf XXX.XXX.XXX.255 verbinden. eigene chain, damit nix geloggt wird hängt mit dem nfs zusammen denk ich mal ipchains -A input -l -i eth1 -s 0.0.0.0/0 -d $extip -j DENY #wird sicherheitshalber mitgeloggt ipchains -A input -l -i eth1 -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY #falls chello an problem bei den regeln hat hehe