Hallo zusammen, auf meinem Server (SuSE 7.2 Kernel 2.4.4 eignebau wegen Softraid Squid 2.3.Stable4 Bind 8 T-DSL Anschluß über pppoed ) wollte ich nun noch eine Firewall einbauen. Leider will sie nicht so wie ich will . Das Script (siehe unten)habe ich aus einem Buch und es hat mit SuSE 7.1 Kernel 2.4.0 und ISDN funktioniert , die Kofiguration von Squid und Bind sind auch noch von SUSE 7.1 und es funktioniert soweit auch alles. Nur wenn ich die Firewall starte komm ich nicht mehr ins Netz. nslookup funktioniert für mein LAN aber nicht fürs Netz. Habe auch schon versucht einen forwarder in named.conf einzutragen hat auch nicht geholfen. Ich denke das ich das falsche Device in ipchains angebe??? Der T-DSL Anschluß ist am eth1 angeschlossen und das LAN an eth0 hat jemand eine Idee was ich falsch mache?? Danke Ralf Anhang : #! /bin/sh # # My personal Firewall 0.0 # # siehe Linux Buch Seite 626 ff # ********************************* # Varieablen defenieren # ********************************* IPC=/sbin/ipchains LAN=192.168.1.0/11 DEV_INT=eth0 DEV_EXT=eth1 DEV_DSL=eth1 # ++++++++++++++++++++++++++++++++++++++++++++++++++ # Ipchains laden aus SuSE script SuSEfirewall_init # ++++++++++++++++++++++++++++++++++++++++++++++++++ # KVER=`uname -r` # KVER=${KVER#?.} # KVER=${KVER%%.*} # test $KVER -lt 3 && return # test -e /proc/sys/net/ipv4/ip_conntrack_max && return modprobe ipchains # >/dev/null 2>&1 # ************************************************************* # firewall in grundzustand versetzen (dicht nach allen netzen) # ************************************************************* echo Starte MyFirewall $IPC -F $IPC -X $IPC -P input DENY $IPC -P forward DENY $IPC -P output ACCEPT # ********************************** # Masquarding starten # ********************************** # echo 1 > /proc/sys/net/ipv4/ip_forward # $IPC -A forward -s $LAN -i $DEV_EXT -j MASQ # ********************************* # Loopback device aktivieren # ********************************* echo starte lo $IPC -A input -i lo -j ACCEPT # ************************************* # LAN Interface aktivieren # ************************************* echo starte lan $IPC -A input -i $DEV_INT -s $LAN -j ACCEPT $IPC -A input -p udp --dport 67:68 --sport 67:68 -j ACCEPT #$IPC -A input -i eth1 -s 62.255.245.145 -j ACCEPT # ******************************************************** # Internet Device aktivieren # ******************************************************** echo starte ext $IPC -A input -i $DEV_EXT -p icmp -j ACCEPT $IPC -A input -i $DEV_EXT -p udp --dport 0:1023 -j ACCEPT $IPC -A input -i $DEV_EXT -p udp --dport 2049 -j DENY $IPC -A input -i $DEV_EXT -p udp -j DENY $IPC -A input -i $DEV_EXT -p tcp -y --dport 113 -j ACCEPT $IPC -A input -i $DEV_EXT -p tcp -y --dport 0:1023 -j DENY $IPC -A input -i $DEV_EXT -p tcp --dport 139 -j DENY $IPC -A input -i $DEV_EXT -p tcp --dport 1433 -j DENY $IPC -A input -i $DEV_EXT -p tcp --dport 2079 -j DENY $IPC -A input -i $DEV_EXT -p tcp --dport 5999:6003 -j DENY $IPC -A input -i $DEV_EXT -p tcp --dport 7100 -j DENY $IPC -A input -i $DEV_EXT -p tcp --dport 31337 -j DENY $IPC -A input -i $DEV_EXT -p tcp -j ACCEPT #$IPC -A input -i $DEV_DSL -p icmp -j ACCEPT #$IPC -A input -i $DEV_DSL -p udp --dport 0:1023 -j DENY #$IPC -A input -i $DEV_DSL -p udp --dport 2049 -j DENY #$IPC -A input -i $DEV_DSL -p udp -j ACCEPT #$IPC -A input -i $DEV_DSL -p tcp -y --dport 113 -j ACCEPT #$IPC -A input -i $DEV_DSL -p tcp -y --dport 0:1023 -j DENY #$IPC -A input -i $DEV_DSL -p tcp --dport 139 -j DENY #$IPC -A input -i $DEV_DSL -p tcp --dport 1433 -j DENY #$IPC -A input -i $DEV_DSL -p tcp --dport 2079 -j DENY #$IPC -A input -i $DEV_DSL -p tcp --dport 5999:6003 -j DENY #$IPC -A input -i $DEV_DSL -p tcp --dport 7100 -j DENY #$IPC -A input -i $DEV_DSL -p tcp --dport 31337 -j DENY #$IPC -A input -i $DEV_DSL -p tcp -j ACCEPT # ***************************************************** # Logging aktivieren # **************************************************** # $IPC -A input -l # $IPC -A output -l # $IPC -A forward -l # ******************************************************* # IP-Spoofing verhindern # ******************************************************* echo ip spoofing for rpf in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $rpf done echo " [done]"