Mailinglist Archive: opensuse-de (6694 mails)
| < Previous | Next > |
Re: FW IPTABLES
- From: Michael Nausch <michael@xxxxxxxxxx>
- Date: Sun, 27 Jan 2002 22:31:35 +0100
- Message-id: <E16Uwvq-0004S7-00@xxxxxxxxxxxxxxxxxxxxxxxx>
Habedieehreoidewuaschdhaud!
Am Sonntag, 27. Januar 2002 20:09 schrieb Sören Mindorf:
Na, wie sieht denn Deine firewall-Umgebung genau aus? :-)
So z.B. oder ist es aufwendiger ausgeführt?
|
|
| <----- Verbindung zum Internet
| über DSL-Modem (!) zu
| t-longline (flatrate)
|
+-----+-----+
| eth0 |
| | +-----+
| eth1 +--------------+ Hub |
| | +-+-+-+
| "Server" | | |
+-----------+ | |
| |
+-----------+ | |
| | | |
| | | |
| eth0 +----------------+ |
| | |
| "clientA" | |
+-----------+ |
|
+-----------+ |
| | |
| | |
| eth0 +------------------+
| |
| "clientB" |
+-----------+
Funktioniert es denn ohne Deiner firewall-Regeln?
Mal sehen ...
Setz' das mal auf 1000:1023, das sind meines Wissens die sog. "common ssh
source ports"
definier hier auch noch Dein internes interface, also:
Du definierst hiermit die genaue Richtung der Pakete.
Bei der "outgoing-chain" ergänze mal Deine Regel:
in:
Die kannst erts mal weglassen:
Berichte mal, wie's Dir mit meinen geistigen Ergüssen ergangen ist!
Pfiade,
BC
--
Michael Nausch Anzinger Str. 20 85586 Poing
+49-8121-989810 (voice) +49-8121-971941 (fax)
http://omni128.de michael@xxxxxxxxxx
Am Sonntag, 27. Januar 2002 20:09 schrieb Sören Mindorf:
ich verzweifle hier langsam. Ich versuche für meinen
Router eine SSH-Verbindung aus dem Internennetz sowie
von außen zu erlauben.
Na, wie sieht denn Deine firewall-Umgebung genau aus? :-)
So z.B. oder ist es aufwendiger ausgeführt?
|
|
| <----- Verbindung zum Internet
| über DSL-Modem (!) zu
| t-longline (flatrate)
|
+-----+-----+
| eth0 |
| | +-----+
| eth1 +--------------+ Hub |
| | +-+-+-+
| "Server" | | |
+-----------+ | |
| |
+-----------+ | |
| | | |
| | | |
| eth0 +----------------+ |
| | |
| "clientA" | |
+-----------+ |
|
+-----------+ |
| | |
| | |
| eth0 +------------------+
| |
| "clientB" |
+-----------+
Außerdem soll auch Forwarding für SSH erlaubt sein.
Doch leider immer wenn ich versuche von außen zuzugreifen,
bekomme ich keine Rückmeldung und somit kann ich keine
Verbindung aufbauen. :-(
Funktioniert es denn ohne Deiner firewall-Regeln?
Wo habe ich mich in meinen Regeln vertan?
Mal sehen ...
port_ssh=1024:65535
Setz' das mal auf 1000:1023, das sind meines Wissens die sog. "common ssh
source ports"
---------------------------------------------------------------------------
-- # ssh für die Fernwartung zulassen
$IPTABLES -A INPUT -s $INTERN -p TCP --sport $port_ssh
--dport ssh \
-m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
definier hier auch noch Dein internes interface, also:
$IPTABLES -A INPUT -i ethx -s $INTERN -p TCP --sport \$port_ssh --dport ssh \
-m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
Du definierst hiermit die genaue Richtung der Pakete.
Bei der "outgoing-chain" ergänze mal Deine Regel:
$IPTABLES -A OUTPUT -d $INTERN -p TCP --dport $port_ssh
--sport ssh \
-m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
in:
$IPTABLES -A OUTPUT -o ethx -d $INTERN -p TCP --dport--sport ssh \
$port_ssh \
-m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
Die kannst erts mal weglassen:
# SSH von jedem Ort möglich ACHTUNG: Sicherheitsloch, besser von einem
befreundetem Netzwerk
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP
--sport
$port_ssh \ --dport ssh -d 0/0 -j ACCEPT
Danke für Eure Hilfe und einen schönen Abend noch
Berichte mal, wie's Dir mit meinen geistigen Ergüssen ergangen ist!
Pfiade,
BC
--
Michael Nausch Anzinger Str. 20 85586 Poing
+49-8121-989810 (voice) +49-8121-971941 (fax)
http://omni128.de michael@xxxxxxxxxx
| < Previous | Next > |