Am Donnerstag, 14. November 2002 16:46 schrieb Stefan Eggert:
nein, ich denke _du_ verstehst die frage falsch. er will das alles vom
internet geblockt wird. das device das 'ins internet zeigt' ist bei ihm eth1. aber vieleicht klärt Stefan uns einfach auf, wie die frage gemeint war, und wir können aufhören darüber zu spekulieren.
Hallo zusammen,
hier nochmal genauer:
also ich habe eine Firewall welche als Gateway funktioniert.
eth0 ist mein LAN eth1 ist mein Internet.
Ich möchte im Prinzip meine Firewall auf dem Interface eth1 so abschotten, das es nichts (aus dem Internet) durchlässt oder annimmt. Danach möchte ich einzelne Ports freigeben, welche auf meinen Server über eth1 ausdem Internet zugreifen dürfen. (z.B. ssh)
Hoffe das ist ok so!!
Gut, das sieht doch schon etwas klarer aus. Ich präzisiere mal weiter: Du willst prinzipiell keinen Datenverkehr zulassen, den du nicht ausdrücklich erlaubt hast: (zuvor natürlich iptables laden und Kernel-Parameter setzen ;-) iptables -P INPUT -j DROP iptables -P OUTPUT -j DROP iptables -P FORWARD -j DROP (da du ja 2 Netzwerkkarten hast) Diese Regeln werden immer ausgeführt, wenn innerhalb der entsprechenden Regelkette nichts anderes für das jeweilige Datenpaket greift. Dann solltest du auf jeden Fall die Netzwerkkarte lo freigeben (ja, die gibt es auch, die sollte man nicht vergessen *g*): iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT Wenn du jetzt auch jeglichen Datenverkehr ins und iptables -A INPUT -i lo -j ACCEPT aus dem LAN erlauben willst, dann das Gleiche noch einmal, aber mit eth0 anstatt lo. Und jetzt kannst du anfangen, weitere Regeln zu setzen, wobei du sinnvoller weise auch darauf achten solltest, ob es sich um Pakete aus neuen (NEW) oder bestehenden (ESTABLISHED bzw. RELATED) Verbindungen handelt. Denn einfach keine Pakete von außen rein zu lassen wäre auch falsch, wenn man Antworten auf eigene Anfragen zu einem Verbindungsaufbau erhalten will. Hier hilft dir einschlägige Literatur weiter. -- Gruß MaxX, Quotenossi und Plenker(er) 8-)