![](https://seccdn.libravatar.org/avatar/e96cd8e862ecdf543cd2de35bd59075e.jpg?s=120&d=mm&r=g)
Am Donnerstag, 14. März 2002 09:56 schrieb Thomas:
Am Donnerstag 14 März 2002 09:40 schrieb Michael Lootz:
Hallo Thomas,
From: "Thomas"
Sent: Thursday, March 14, 2002 8:42 AM Hallo Liste!
Moechte mit iptables eine FW bauen. Habe zuerst die Policy von INPUT OUTPUT und FORWARD auf DROP gesetzt. Jetzt ist erstmal alles zu.
Stimmt nicht ganz. Du hast nur die Policy-Regeln gesetzt, d.h. diese Regel wird angwendet wenn keine andere Regel gefunden wurde.
Wenn ich Internet freigeben will muss ich doch fuer die Anfrage die Ports 1024:65535 und fuer die Antwort das Port 80 freigeben - oder ? Versucht habe ich das dann mit iptables -A FORWARD -p TCP --sport 1024:65535 --dport 80 -j ACCEPT
Da es nicht wirklich funktioniert, muss es falsch sein. Muss ich sport und dport getrennt freigeben? Und kann ich das ganze auch noch an eine bzw mehrere IP's koppeln oder an eth's ?
Kann mir da jemand weiter helfen? Bin fuer jede Hilfe dankbar!
Ich kenne Deine Konfiguration nicht - hast Du einen Server um ins Netz zu gehen, Proxy etc...?
Eine kleine Information zum Thema firewall findest Du unter
http://www.michaellootz.de/ Unterpunkt Linux. Aber ich bin sicher daß hier in der Liste einige sind die mehr Ahnung von der Materie haben als ich.
Gruß Michael
Hi,
Ok da hab ich zuwenig Info gegeben. Im Linux Rechner sind 3 eth's - zwei fuers interne Netz und eine fuer die Internetanbindung. Wenn die Policy auf ACCEPT ist geht alles ohne Masquerading. Als Schutz moechte ich die Policy ueberall auf DROP setzen und nur bestimmte Dienste freigeben z.B.: Internetseiten also http. Dafuer muss ich doch das Port 80 und die unprivilegierten Ports 1024 bis 65535 freigeben? Es sollen nur die lokalen Clients mit Severn im Internet kommunizieren duerfen; anfragen von fremden Clients auf meinen Server sollen geblockt werden. Muss ich also meine Filterregel bei FORWARD setzen oder bei INPUT ? denn solange bei Forward DROP ist geht nix aber wenn INPUT und OUTPUT DROP ist und FORWARD auf ACCEPT geht trotzdem alles drueber? WARUM ?????
Wenn du die Default Policy gesetzt hast und routen willst, dann brauchst du folgende Regeln: $IPT -A FORWARD -o $INT -i $EXT \ -m state --state $ESTABLISHED,RELEATED \ -j ACCEPT $IPT -A FORWARD -o $INT -i $EXT \ -m state --state $NEW,INVALID \ -j DROP $IPT -A FORWARD -o $EXT -i $INT -p TCP \ -m state --state NEW --sport 1024:65535 --dport http \ -j ACCEPT Ich denke dass ist was du suchst. Ne Regel für DNS wäre natuerlich auch nicht schlecht, da die Clients ja auch Adressen auflösen müssen. Meine Scripts lassen sich unter http://sg-packetfilter.sungazer.de und/oder http://sf.net/projects/sg-packetfilter finden und herunterladen. Vielleicht findest du ja noch Regeln in den src Scripten die dir weiterhelfen. Bei weiteren Fragen einfach per PM melden :] Greets Marius