From: "John-Paul Besener" <jpb@macor-neptun.de> To: <suse-isdn@suse.com> Date sent: Tue, 8 Feb 2000 14:41:15 -0000 Subject: [suse-isdn] ipchains, squid,squid2 oder apache
Hallo Liste,
ich versuche gerade Zuhause einen Linux Router einzurichten (SuSE 6.3), Ziel ist es, dass ich mit meinem Windoof-Clients surfen, mailen und ftp machen kann. Ohne mit irgendwelchen unge- wollten Verbindungsaufbauten meine T-Rechnung hochzutreiben.
1.) Das Routing klappt soweit auch - aber da die gesprächigen WC`s immer den Port 137 anplappern habe ich eine quasi Stand- leitung.
2.) Mit ipchains wuerde ich gerne alles verbieten und nur die notwendigen services fuer die oben genannten Ziele erlauben. (Hat eventuell jemand ein Script das dies hinbekommt?). Welche services sind eh zwingend erforderlich?
3.) Was empfiehlt sich: Proxy Ja oder nein - Wenn "ja" welcher? - und welches sind die wichtigsten Einstellungen.
4.) Was hat es mit named auf sich ?
Thanx
John - Paul
zu 2.) mein firewall sieht so aus: ip-up ----------------------------- # default deny ipchains -P input DENY ipchains -P output DENY # flush ipchains -F input ipchains -F output # www ipchains -A input -i ippp0 --sport 80 -d $LOCALIP 1024: -p tcp -j ACCEPT ipchains -A output -i ippp0 -s $LOCALIP 1024: --dport 80 -p tcp - j ACCEPT # www ueber proxy ipchains -A input -i ippp0 --sport 8080 -d $LOCALIP 1024: -p tcp -j ACCEPT ipchains -A output -i ippp0 -s $LOCALIP 1024: --dport 8080 -p tcp -j ACCEPT # pop3 ipchains -A output -i ippp0 -p tcp -s $LOCALIP 1024: --dport 110 -j ACCEPT ipchains -A input -i ippp0 -p tcp -d $LOCALIP 1024: --sport 110 -j ACCEPT # smtp ipchains -A output -i ippp0 -p tcp -s $LOCALIP 1024: --dport 25 -j ACCEPT ipchains -A input -i ippp0 -p tcp -d $LOCALIP 1024: --sport 25 -j ACCEPT # accept dns (only telekom dns-server) ipchains -A input -i ippp0 -p UDP -s 194.25.2.129 53 -j ACCEPT ipchains -A output -i ippp0 -p UDP -d 194.25.2.129 53 -j ACCEPT # accept outgoing telnet ipchains -A output -i ippp0 -p tcp -s $LOCALIP 1024: --dport 23 -j ACCEPT ipchains -A input -i ippp0 -p tcp --sport 23 -d $LOCALIP 1024:5999 -j ACCEPT ipchains -A input -i ippp0 -p tcp --sport 23 -d $LOCALIP 6010: -j ACCEPT # accept ftp ipchains -A input -i ippp0 -p TCP -s 0.0.0.0/0 20 -d $LOCALIP 1024:5999 -j ACCEPT ipchains -A input -i ippp0 -p TCP -s 0.0.0.0/0 20 -d $LOCALIP 6010: -j ACCEPT ipchains -A input -i ippp0 -p TCP --sport ftp -d $LOCALIP 1024:5999 -j ACCEPT ipchains -A input -i ippp0 -p TCP --sport ftp -d $LOCALIP 6010: -j ACCEPT ipchains -A output -i ippp0 -s $LOCALIP 1024: --dport 21 -p TCP -j ACCEPT ipchains -A output -i ippp0 -s $LOCALIP 1024: --dport 20 -p TCP -j ACCEPT # ICMP ipchains -A input -p icmp --icmp-type destination-unreachable -j ACCEPT ipchains -A input -p icmp --icmp-type source-quench -j ACCEPT ipchains -A input -p icmp --icmp-type time-exceeded -j ACCEPT ipchains -A input -p icmp --icmp-type parameter-problem -j ACCEPT # ping (out) ipchains -A output -i ippp0 -p icmp -s $LOCALIP 8 -j ACCEPT ipchains -A input -i ippp0 -p icmp -d $LOCALIP 0 --sport 0 -j ACCEPT # timeservice ipchains -A output -i ippp0 -p tcp -s $LOCALIP 1024: --dport 37 -j ACCEPT ipchains -A input -i ippp0 -p tcp -d $LOCALIP 1024:5999 --sport 37 -j ACCEPT ipchains -A input -i ippp0 -p tcp -d $LOCALIP 6010: --sport 37 -j ACCEPT # lo <-> lan ist ok ipchains -A input -i eth0 -j ACCEPT ipchains -A output -i eth0 -s $LOCALIP -j ACCEPT # local to local is ok ipchains -A input -i lo -j ACCEPT ipchains -A output -i lo -j ACCEPT # logging rest ipchains -A input -l ipchains -A output -l ip-down-------------------------- # default accept ipchains -P input ACCEPT ipchains -P output ACCEPT # flush, del all rules ipchains -F input ipchains -F output ----------------------------------- ist in anlehnung an den ct-artikel aus ct 17/99 entstanden. alles ohne masquerading für stand allone linux-box. natürlich alles ohne garantie!!! kritik erwünscht. cu und gruß christian