Mailinglist Archive: opensuse-de (4731 mails)
| < Previous | Next > |
Firewall Problem
- From: RaUlDA.Neuhausen@xxxxxxxxxxx
- Date: Sat, 14 Jul 2001 13:58:14 +0200 (MEST)
- Message-id: <995111712.3b503320cd8d4@xxxxxxxxxxxxxxxxxxx>
Hallo zusammen,
auf meinem Server (SuSE 7.2 Kernel 2.4.4 eignebau wegen Softraid
Squid 2.3.Stable4 Bind 8 T-DSL Anschluß über pppoed )
wollte ich nun noch eine Firewall einbauen.
Leider will sie nicht so wie ich will .
Das Script (siehe unten)habe ich aus einem Buch und es hat mit SuSE 7.1
Kernel 2.4.0
und ISDN funktioniert , die Kofiguration von Squid und Bind sind auch
noch von SUSE 7.1 und es funktioniert soweit auch alles.
Nur wenn ich die Firewall starte komm ich nicht mehr ins Netz.
nslookup funktioniert für mein LAN aber nicht fürs Netz.
Habe auch schon versucht einen forwarder in named.conf
einzutragen hat auch nicht geholfen.
Ich denke das ich das falsche Device in ipchains angebe???
Der T-DSL Anschluß ist am eth1 angeschlossen und das LAN
an eth0
hat jemand eine Idee was ich falsch mache??
Danke
Ralf
Anhang :
#! /bin/sh
#
# My personal Firewall 0.0
#
# siehe Linux Buch Seite 626 ff
# *********************************
# Varieablen defenieren
# *********************************
IPC=/sbin/ipchains
LAN=192.168.1.0/11
DEV_INT=eth0
DEV_EXT=eth1
DEV_DSL=eth1
# ++++++++++++++++++++++++++++++++++++++++++++++++++
# Ipchains laden aus SuSE script SuSEfirewall_init
# ++++++++++++++++++++++++++++++++++++++++++++++++++
# KVER=`uname -r`
# KVER=${KVER#?.}
# KVER=${KVER%%.*}
# test $KVER -lt 3 && return
# test -e /proc/sys/net/ipv4/ip_conntrack_max && return
modprobe ipchains # >/dev/null 2>&1
# *************************************************************
# firewall in grundzustand versetzen (dicht nach allen netzen)
# *************************************************************
echo Starte MyFirewall
$IPC -F
$IPC -X
$IPC -P input DENY
$IPC -P forward DENY
$IPC -P output ACCEPT
# **********************************
# Masquarding starten
# **********************************
# echo 1 > /proc/sys/net/ipv4/ip_forward
# $IPC -A forward -s $LAN -i $DEV_EXT -j MASQ
# *********************************
# Loopback device aktivieren
# *********************************
echo starte lo
$IPC -A input -i lo -j ACCEPT
# *************************************
# LAN Interface aktivieren
# *************************************
echo starte lan
$IPC -A input -i $DEV_INT -s $LAN -j ACCEPT
$IPC -A input -p udp --dport 67:68 --sport 67:68 -j ACCEPT
#$IPC -A input -i eth1 -s 62.255.245.145
-j ACCEPT
# ********************************************************
# Internet Device aktivieren
# ********************************************************
echo starte ext
$IPC -A input -i $DEV_EXT -p icmp -j ACCEPT
$IPC -A input -i $DEV_EXT -p udp --dport 0:1023 -j ACCEPT
$IPC -A input -i $DEV_EXT -p udp --dport 2049 -j DENY
$IPC -A input -i $DEV_EXT -p udp -j DENY
$IPC -A input -i $DEV_EXT -p tcp -y --dport 113 -j
ACCEPT
$IPC -A input -i $DEV_EXT -p tcp -y --dport 0:1023 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 139 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 1433 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 2079 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 5999:6003 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 7100 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 31337 -j DENY
$IPC -A input -i $DEV_EXT -p tcp -j
ACCEPT
#$IPC -A input -i $DEV_DSL -p icmp -j ACCEPT
#$IPC -A input -i $DEV_DSL -p udp --dport 0:1023 -j DENY
#$IPC -A input -i $DEV_DSL -p udp --dport 2049 -j DENY
#$IPC -A input -i $DEV_DSL -p udp -j ACCEPT
#$IPC -A input -i $DEV_DSL -p tcp -y --dport 113 -j
ACCEPT
#$IPC -A input -i $DEV_DSL -p tcp -y --dport 0:1023 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 139 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 1433 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 2079 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 5999:6003 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 7100 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 31337 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp -j
ACCEPT
# *****************************************************
# Logging aktivieren
# ****************************************************
# $IPC -A input -l
# $IPC -A output -l
# $IPC -A forward -l
# *******************************************************
# IP-Spoofing verhindern
# *******************************************************
echo ip spoofing
for rpf in /proc/sys/net/ipv4/conf/*/rp_filter;
do echo 1 > $rpf
done
echo " [done]"
auf meinem Server (SuSE 7.2 Kernel 2.4.4 eignebau wegen Softraid
Squid 2.3.Stable4 Bind 8 T-DSL Anschluß über pppoed )
wollte ich nun noch eine Firewall einbauen.
Leider will sie nicht so wie ich will .
Das Script (siehe unten)habe ich aus einem Buch und es hat mit SuSE 7.1
Kernel 2.4.0
und ISDN funktioniert , die Kofiguration von Squid und Bind sind auch
noch von SUSE 7.1 und es funktioniert soweit auch alles.
Nur wenn ich die Firewall starte komm ich nicht mehr ins Netz.
nslookup funktioniert für mein LAN aber nicht fürs Netz.
Habe auch schon versucht einen forwarder in named.conf
einzutragen hat auch nicht geholfen.
Ich denke das ich das falsche Device in ipchains angebe???
Der T-DSL Anschluß ist am eth1 angeschlossen und das LAN
an eth0
hat jemand eine Idee was ich falsch mache??
Danke
Ralf
Anhang :
#! /bin/sh
#
# My personal Firewall 0.0
#
# siehe Linux Buch Seite 626 ff
# *********************************
# Varieablen defenieren
# *********************************
IPC=/sbin/ipchains
LAN=192.168.1.0/11
DEV_INT=eth0
DEV_EXT=eth1
DEV_DSL=eth1
# ++++++++++++++++++++++++++++++++++++++++++++++++++
# Ipchains laden aus SuSE script SuSEfirewall_init
# ++++++++++++++++++++++++++++++++++++++++++++++++++
# KVER=`uname -r`
# KVER=${KVER#?.}
# KVER=${KVER%%.*}
# test $KVER -lt 3 && return
# test -e /proc/sys/net/ipv4/ip_conntrack_max && return
modprobe ipchains # >/dev/null 2>&1
# *************************************************************
# firewall in grundzustand versetzen (dicht nach allen netzen)
# *************************************************************
echo Starte MyFirewall
$IPC -F
$IPC -X
$IPC -P input DENY
$IPC -P forward DENY
$IPC -P output ACCEPT
# **********************************
# Masquarding starten
# **********************************
# echo 1 > /proc/sys/net/ipv4/ip_forward
# $IPC -A forward -s $LAN -i $DEV_EXT -j MASQ
# *********************************
# Loopback device aktivieren
# *********************************
echo starte lo
$IPC -A input -i lo -j ACCEPT
# *************************************
# LAN Interface aktivieren
# *************************************
echo starte lan
$IPC -A input -i $DEV_INT -s $LAN -j ACCEPT
$IPC -A input -p udp --dport 67:68 --sport 67:68 -j ACCEPT
#$IPC -A input -i eth1 -s 62.255.245.145
-j ACCEPT
# ********************************************************
# Internet Device aktivieren
# ********************************************************
echo starte ext
$IPC -A input -i $DEV_EXT -p icmp -j ACCEPT
$IPC -A input -i $DEV_EXT -p udp --dport 0:1023 -j ACCEPT
$IPC -A input -i $DEV_EXT -p udp --dport 2049 -j DENY
$IPC -A input -i $DEV_EXT -p udp -j DENY
$IPC -A input -i $DEV_EXT -p tcp -y --dport 113 -j
ACCEPT
$IPC -A input -i $DEV_EXT -p tcp -y --dport 0:1023 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 139 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 1433 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 2079 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 5999:6003 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 7100 -j DENY
$IPC -A input -i $DEV_EXT -p tcp --dport 31337 -j DENY
$IPC -A input -i $DEV_EXT -p tcp -j
ACCEPT
#$IPC -A input -i $DEV_DSL -p icmp -j ACCEPT
#$IPC -A input -i $DEV_DSL -p udp --dport 0:1023 -j DENY
#$IPC -A input -i $DEV_DSL -p udp --dport 2049 -j DENY
#$IPC -A input -i $DEV_DSL -p udp -j ACCEPT
#$IPC -A input -i $DEV_DSL -p tcp -y --dport 113 -j
ACCEPT
#$IPC -A input -i $DEV_DSL -p tcp -y --dport 0:1023 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 139 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 1433 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 2079 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 5999:6003 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 7100 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp --dport 31337 -j DENY
#$IPC -A input -i $DEV_DSL -p tcp -j
ACCEPT
# *****************************************************
# Logging aktivieren
# ****************************************************
# $IPC -A input -l
# $IPC -A output -l
# $IPC -A forward -l
# *******************************************************
# IP-Spoofing verhindern
# *******************************************************
echo ip spoofing
for rpf in /proc/sys/net/ipv4/conf/*/rp_filter;
do echo 1 > $rpf
done
echo " [done]"
| < Previous | Next > |