thx by line load is now -10% in cause of the deny
theproblem was lockdown on my workstation, he denyed the iauth, so my
firewall asked and asked
(i think so i dont know if this is the real problem, but i hope it)
Greeting DJMAD
-------------------------
ui des hat ma aber viel speed gebracht das mit dem deny statt reject
auslastung der leitung jetzt auf -10% thx
der popper hat darum nicht funktioniert, weil ich auf dem winpc lockdown
2000 laufen hatte, und dieses die
iauth nich zulies (denke ich halt) als ich ihn geschlossen habe gings dann
plötzlich schneller
---------------------------
----- Original Message -----
From: "Christian Uhde"
HI! Ist es möglich, dass du Roman's mail nicht gelesen hast? Prinzipiell geht es immer der Reihenfolge der Regeln nach, aber diese paar Regeln sollte ein mehr oder weniger aktueller Rechner recht schnell durchgearbeitet haben. Trotzdem kannst du probieren, die häufig benötigten Dienste nach "vorn" zu stellen. Dabei mußt du nur beachten, dass verbotene IP-Bereiche und dergleichen vorher bearbeitet werden.
Ich würde auch die Policy auf DENY bzw. REJECT stellen. Packete, die von außen kommen, würde ich nicht REJECT'en sondern DENY'en, das spart Bandbreite und Zeit.
Literaturempfehlung: Linux Firewalls (deutsch) von Markt und Technik. Das Original ist englisch: Linux Firewalls oder: http://www.little-idiot.de/firewall(s??)
Christian
Am Don, 22 Feb 2001 schrieben Sie:
Hi People
Since i have updated my ipchains, inetd-connections are very very very
slow
sometimes answers after 60 seconds.
can somebody show my why???? i cannot find it.
i connect from 10.10.10.26 to 10.10.10.254 (firewall at work)
sorry about the comments in the script they are in german, i know thats an english mailinglist.
thx DJMAD
ipchains -F ipchains -P input ACCEPT ipchains -P forward ACCEPT ipchains -P output ACCEPT
#internes lan angeben (eigenes lan) intlan=10.10.10.0/24 intip=10.10.10.254 #externe ip angeben (chello) extip=XXXXXXXXXXXX
#masqrechner angeben rechner1=10.10.10.26 rechner2=10.10.10.25 rechner3=10.10.10.27
#aussenstellen angeben aussen1=XXXXXXXXXX#firma aussen2=XXXXXXXXXX#helmut
######## Totales Verbot für chello proxies wegen des Masq ################ # man könnte ja was merken +hehe+ durch surfanalysen frechheit aber auch ### ipchains -A input -b -i eth1 -s $extip -d 195.34.133.60 -j REJECT ipchains -A input -b -i eth1 -s $extip -d 195.34.133.61 -j REJECT ipchains -A input -b -i eth1 -s $extip -d 195.34.133.62 -j REJECT ipchains -A input -b -i eth1 -s $extip -d 195.34.133.63 -j REJECT ipchains -A input -b -i eth1 -s $extip -d 195.34.133.64 -j REJECT ipchains -A input -b -i eth1 -s $extip -d 195.34.133.65 -j REJECT ipchains -A input -b -i eth1 -s $extip -d 195.34.133.66 -j REJECT
############################################################################
######################### #loopback
########################################
ipchains -A input -b -i lo -s $extip -d 127.0.0.0/24 -j ACCEPT
#loopbac
k ipchains -A input -b -i lo -s $intip -d 127.0.0.0/24 -j ACCEPT #loopbac k ipchains -A input -i lo -s $intip -d $intip -j ACCEPT #loopbac k loopback ipchains -A input -i lo -s $extip -d $extip -j ACCEPT #loopbac k loopback
############################################################################
ipmasqadm portfw -a -P tcp -R $extip 3333 -L 10.10.10.26 3333 ipmasqadm portfw -a -P udp -R $rechner2 5900 -L $extip 5900 ipmasqadm portfw -a -P tcp -R $rechner2 5900 -L $extip 5900
######################### TEST
#############################################
######################### TESTENDE #########################################
######### battlecom für gamers ############################################# ipmasqadm autofw -A -r udp 2300 2400 -h $rechner1 ipmasqadm autofw -A -r tcp 2300 2400 -h $rechner1 ipmasqadm autofw -A -r tcp 47624 47634 -h $rechner1 ipmasqadm autofw -A -r udp 47624 47634 -h $rechner1 ipmasqadm autofw -A -r udp 28800 28900 -h $rechner1
######### generell ######################################################### ipchains -A input -b -i eth1 -p tcp -s $extip 1024:65532 -d 0.0.0.0/0 -j AC CEPT ipchains -A input -b -i eth1 -p udp -s $extip 1024:65532 -d 0.0.0.0/0 -j AC CEPT ipchains -A input -b -i eth1 -p tcp -s $extip 113 -d 0.0.0.0/0 -j ACCEPT
######### interne berechtigungen ########################################### ipchains -A input -b -i eth1 -s $extip -d $aussen1 -j ACCEPT # ipchains -A input -b -i eth1 -s $extip -d $aussen2 -j ACCEPT ipchains -A input -b -i eth0 -s $extip -d $intip -j ACCEPT
######### SSH ############################################################## ipchains -A input -b -i eth1 -p tcp -s $extip 22 -d $aussen2 -j ACCEPT ######### FTP ############################################################## # ipchains -A input -b -i eth1 -p tcp -s $extip 21 -d 0.0.0.0/0 -j ACCEPT
######### HTTP ############################################################# ipchains -A input -b -i eth1 -p tcp -s $extip 80 -d 0.0.0.0/0 -j ACCEPT ipchains -A input -b -i eth1 -p tcp -s $extip -d 0.0.0.0/0 80 -j ACCEPT ######### DNS ############################################################## ipchains -A input -b -i eth1 -p 17 -s $extip -d 0.0.0.0/0 53 -j ACCEPT ipchains -A input -b -i eth0 -p 17 -s $intlan -d 0.0.0.0/0 53 -j ACCEPT ######### SENDMAIL ######################################################### ipchains -A input -b -i eth1 -p tcp -s $extip -d 0.0.0.0/0 25 -j ACCEPT ipchains -A input -b -i eth1 -p tcp -s $extip 25 -d 0.0.0.0/0 -j ACCEPT ######### 10erlan ########################################################## ipchains -A input -b -i eth0 -s $intlan -d $intip -j ACCEPT ipchains -A input -b -i eth0 -s $intlan -d 0.0.0.0/0 -j ACCEPT
######### masqueradin ###################################################### # ipchains -A forward -s $rechner3 -d 0.0.0.0/0 -j MASQ ipchains -A forward -s $rechner2 -d 0.0.0.0/0 -j MASQ ipchains -A forward -s $rechner1 -d 0.0.0.0/0 -j MASQ
######### ping ############################################################# ipchains -A input -b -p icmp -i eth1 -s $extip -d 0.0.0.0/0 -j ACCEPT
######### Der rest ist verboten ############################################ ipchains -A input -l -i eth1 -s 0.0.0.0/0 -d $extip -j REJECT #wird sicherh eitshalber mitgeloggt ipchains -A input -l -i eth1 -s 0.0.0.0/0 -d 0.0.0.0/0 -j REJECT #falls che llo an problem bei den regeln hat hehe
---------------------------------------- Content-Type: text/html; name="unnamed" Content-Transfer-Encoding: quoted-printable Content-Description: ----------------------------------------
--
Christian Uhde Dreikreuzenstrasse 6 30449 Hannover Germany
mail@christian-uhde.de http://www.christian-uhde.de --