Hallo! Habe be mir gleich den Vorschlag zu Gemüte geführt und www.prolinux.de besucht und die Syntax von iptables in einer Stunde gelernt, jedoch funktioniert mein Script natürlich nicht (*seufz, schluchz). Also: Ich habe das Firewallscript in /etc/filter reingesteckt, im /etc/ipup habe ich reingesetzt: # Firewall mit dynamischer IP umkonfigurieren /etc/filter/firewall LOCALIP=$4 Dann habe ich ein Initialisierungscript in /etc/init.d mit Namen Iniscript, was in den Runleveln 235 starten soll Und hier ist mein schnell dahinfabriziertes Firewall-Script, wenn ich /etc/filter/firewall start in der konsole eingebe, erhalte ich 1000 Fehlermeldungen, um am Ende "Paketfilter aktiv", die Ports für XWindows (6000) und lp (515) sind natürlich auch nicht geschlossen, kann mir jemand vielleich mit dieser Syntax auf die Sprünge helfen, das wäre total süß...Bis bald.Bis dann... #!/bin/sh echo " Initialisiere die Firewall...." # Externe Programme definieren IPTABLES='/usr/sbin/iptables' MODPROBE='/sbin/modprobe' # Nur absolut notwendige Module laden. $MODPROBE --autoclean --syslog ip_tables # Schnittstellen definieren INTERFACE=$1 LOCALIP=$4 LOOPBACK=lo ANYIP=0.0.0.0/0 DNS1=217.5.100.1 DNS2=194.25.2.129 # Standard-Regelketten entleeren $IPTABLES -F # Default Policy $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # Fragmente $IPTABLES -A INPUT -f -i eth0 -j DROP # SYN-FLOOD $IPTABLES -A INPUT -i $INTERFACE -p tcp --syn -j syn-flood $IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN $IPTABLES -A syn-flood -j DROP # SynPackete $IPTABLES -A INPUT -i $INTERFACE -p tcp ! --syn -m state --state NEW -j DROP # FRAGMENTE $IPTABLES -A INPUT -i $INTERFACE -f -j LOG --log-prefix "IPTABLES FRAGMENTS: " $IPTABLES -A INPUT -i $INTERFACE -f -j DROP # LOOPBACK $IPTABLES -A INPUT -i lo - j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -s 127.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o $INTERFACE -s 127.0.0.0/8 -j DROP # Chain which blocks new connections, except if coming from inside. $IPTABLES -N block $IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A block -m state --state NEW -i ! ppp0 -j ACCEPT $IPTABLES -A block -j DROP # to that chain from INPUT and FORWARD chains. $IPTABLES -A INPUT -j block $IPTABLES -A FORWARD -j block $IPTABLES -N no-conns-from-ppp0 $IPTABLES -A no-conns-from-ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A no-conns-from-ppp0 -m state --state NEW -i ! ppp0 -j ACCEPT $IPTABLES -A no-conns-from-ppp0 -i $INTERFACE -m limit -j LOG --log-prefix "Bad packet from ppp0:" $IPTABLES -A no-conns-from-ppp0 -i ! $INTERFACE -m limit -j LOG --log-prefix "Bad packet not from ppp0:" $IPTABLES -A no-conns-from-ppp0 -j DROP $IPTABLES -A INPUT -j no-conns-from-ppp0 $IPTABLES -A FORWARD -j no-conns-from-ppp0 # OPEN WINDOWS $IPTABLES -A OUTPUT -o $INTERFACE -p tcp --tcp-flags ALL SYN -s $LOCALIP --dport 2000 -j DROP $IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL SYN -d $LOCALIP --dport 2000 -j DROP # XWINDOWS $IPTABLES -A INPUT -p tcp --dport 6000 -m limit -j LOG \ --log-prefix "X-Windows Port" $IPTABLES -A INPUT -p tcp --dport 6000 -j DROP # Traceroute $IPTABLES -A INPUT -p udp --dport 33434:33523 -j DROP # LP $IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL SYN -d $LOCALIP --dport 515 -j DROP $IPTABLES -A OUTPUT -o $INTERFACE -p tcp --tcp-flags ALL SYN -s $LOCALIP --dport 515 -j DROP # DNS1 $IPTABLES -A OUTPUT -o $INTERFACE -p udp -s $LOCALIP --sport 1:1024 -d 194.25.2.129 --dport 53 -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -p udp -s 194.25.2.129 --sport 53 -d $LOCALIP --dport 1:1024 -j ACCEPT # DNS2 $IPTABLES -A OUTPUT -o $INTERFACE -p udp -s $LOCALIP --sport 1:1024 -d 217.5.100.1 --dport 53 -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -p udp -s 217.5.100.1 --sport 53 -d $LOCALIP --dport 1:1024 -j ACCEPT # HTTP $IPTABLES -A OUTPUT -o $INTERFACE -p tcp -s $LOCALIP --sport 1:1024 --dport 80 -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL SYN --sport 80 -d $LOCALIP --dport 1:1024 -j ACCEPT # HTTPS $IPTABLES -A OUTPUT -o $INTERFACE -p tcp -s $LOCALIP --sport 1:1024 --dport 443 -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL SYN --sport 443 -d $LOCALIP --dport 1:1024 -j ACCEPT # SMPT $IPTABLES -A OUTPUT -o $INTERFACE -p tcp -s $LOCALIP --sport 1:1024 -d 212.12.48.3 --dport 25 -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL SYN -s 212.12.48.3 --sport 25 -d $LOCALIP --dport 1:1024 -j ACCEPT # POP $IPTABLES -A OUTPUT -o $INTERFACE -p tcp -s $LOCALIP --sport 1:1024 -d 212.12.48.1 --dport 110 -j ACCEPT $IPTABLES -A INPUT -i $INTERFACE -p tcp --tcp-flags ALL SYN -s 212.12.48.1 --sport 110 -d $LOCALIP --dport 1:1024 -j ACCEPT ## FTP # Allow ftp outbound. $IPTABLES -A INPUT -i $INTERFACE -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -o $INTERFACE -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT # Active ftp. $IPTABLES -A INPUT -i $INTERFACE -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o $INTERFACE -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT # Passive ftp. iptables -A INPUT -i $INTERFACE -p tcp --sport $UP_PORTS --dport $UP_PORTS \ -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $INTERFACE -p tcp --sport $UP_PORTS --dport $UP_PORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow smtp outbound. iptables -A INPUT -i $INTERFACE -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $INTERFACE -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT # AUTH iptables -A INPUT -i $INTERFACE -p tcp --dport 113 -j REJECT --reject-with tcp-reset # Outgoing traceroute anywhere. iptables -A OUTPUT -o $INTERFACE -p udp --sport $TR_SRC_PORTS --dport $TR_DEST_PORTS \ -m state --state NEW -j ACCEPT # ICMP iptables -A INPUT -i $INTERFACE -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o $INTERFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Any udp not already allowed is logged and then dropped. $IPTABLES -A INPUT -i $INTERFACE -p udp -j LOG --log-prefix "IPTABLES UDP-IN: " $IPTABLES -A INPUT -i $INTERFACE -p udp -j DROP $IPTABLES -A OUTPUT -o $INTERFACE -p udp -j LOG --log-prefix "IPTABLES UDP-OUT: " $IPTABLES -A OUTPUT -o $INTERFACE -p udp -j DROP # Any icmp not already allowed is logged and then dropped. $IPTABLES -A INPUT -i $INTERFACE -p icmp -j LOG --log-prefix "IPTABLES ICMP-IN: " $IPTABLES -A INPUT -i $INTERFACE -p icmp -j DROP $IPTABLES -A OUTPUT -o $INTERFACE -p icmp -j LOG --log-prefix "IPTABLES ICMP-OUT: " $IPTABLES -A OUTPUT -o $INTERFACE -p icmp -j DROP # Any tcp not already allowed is logged and then dropped. $IPTABLES -A INPUT -i $INTERFACE -p tcp -j LOG --log-prefix "IPTABLES TCP-IN: " $IPTABLES -A INPUT -i $INTERFACE -p tcp -j DROP $IPTABLES -A OUTPUT -o $INTERFACE -p tcp -j LOG --log-prefix "IPTABLES TCP-OUT: " $IPTABLES -A OUTPUT -o $INTERFACE -p tcp -j DROP # Anything else not already allowed is logged and then dropped. # It will be dropped by the default policy anyway ........ but let's be paranoid. $IPTABLES -A INPUT -i $INTERFACE -j LOG --log-prefix "IPTABLES PROTOCOL-X-IN: " $IPTABLES -A INPUT -i $INTERFACE -j DROP $IPTABLES -A OUTPUT -o $INTERFACE -j LOG --log-prefix "IPTABLES PROTOCOL-X-OUT: " $IPTABLES -A OUTPUT -o $INTERFACE -j DROP # IP-SPOOF (IANA) $IPTABLES -A INPUT -i eth0 -s $LOCALIP -j DROP $IPTABLES -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -d 10.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o eth0 -s 10.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP $IPTABLES -A INPUT -i eth0 -d 172.16.0.0/12 -j DROP $IPTABLES -A OUTPUT -o eth0 -s 172.16.0.0/12 -j DROP $IPTABLES -A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP $IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP $IPTABLES -A INPUT -i eth0 -d 192.168.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -s 192.168.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP $IPTABLES -A INPUT -i eth0 -s 255.255.255.255 -j DROP $IPTABLES -A INPUT -i eth0 -d 255.255.255.255 -j DROP $IPTABLES -A OUTPUT -o eth0 -s 255.255.255.255 -j DROP $IPTABLES -A OUTPUT -o eth0 -d 255.255.255.255 -j DROP $IPTABLES -A INPUT -i eth0 -p udp -s 224.0.0.0/4 -j DROP $IPTABLES -A OUTPUT -o eth0 -p udp -s 224.0.0.0/4 -j DROP $IPTABLES -A OUTPUT -o eth0 -p udp -d 224.0.0.0/4 -j DROP $IPTABLES -A INPUT -i eth0 -p udp -d 224.0.0.0/4 -j DROP $IPTABLES -A INPUT -i eth0 -s 240.0.0.0/5 -j DROP $IPTABLES -A OUTPUT -o eth0 -d 240.0.0.0/5 -j DROP $IPTABLES -A INPUT -i eth0 -s 1.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 2.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 5.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 7.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 23.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 27.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 31.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 37.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 39.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 41.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 42.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 58.0.0.0/7 -j DROP $IPTABLES -A INPUT -i eth0 -s 60.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 65.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 66.0.0.0/7 -j DROP $IPTABLES -A INPUT -i eth0 -s 67.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 68.0.0.0/6 -j DROP $IPTABLES -A INPUT -i eth0 -s 69.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 70.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 71.0.0.0/5 -j DROP $IPTABLES -A INPUT -i eth0 -s 72.0.0.0/5 -j DROP $IPTABLES -A INPUT -i eth0 -s 73.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 74.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 75.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 76.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 77.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 78.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 79.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 80.0.0.0/4 -j DROP $IPTABLES -A INPUT -i eth0 -s 96.0.0.0/3 -j DROP $IPTABLES -A INPUT -i eth0 -s 169.254.0.0/16 -j DROP $IPTABLES -A INPUT -i eth0 -s 192.0.2.0/24 -j DROP $IPTABLES -A INPUT -i eth0 -s 112.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 113.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 114.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 115.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 116.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 117.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 118.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 119.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 120.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 121.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 122.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 123.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 124.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 125.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 126.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 217.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 218.0.0.0/7 -j DROP $IPTABLES -A INPUT -i eth0 -s 219.0.0.0/8 -j DROP $IPTABLES -A INPUT -i eth0 -s 220.0.0.0/6 -j DROP $IPTABLES -A INPUT -i eth0 -s 248.0.0.0/5 -j DROP echo "fertig" exit 0 -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
On Sat, Feb 23, 2002 at 11:30:31PM +0100, LaBelle Furneaux wrote:
Hallo! Habe be mir gleich den Vorschlag zu Gemüte geführt und www.prolinux.de besucht und die Syntax von iptables in einer Stunde gelernt, jedoch funktioniert mein Script natürlich nicht (*seufz, schluchz).
Ich habe in einer Stunde gelernt, wie man die Figuren setzt, ....Karpow gewinnt immer noch (*seufz*). [...] ;-) Benn -- #250319 - http://counter.li.org
Hallo, at Sat, 23 Feb 2002 23:57:57 +0100 Bernd Schmelter wrote:
On Sat, Feb 23, 2002 at 11:30:31PM +0100, LaBelle Furneaux wrote:
Habe be mir gleich den Vorschlag zu Gemüte geführt und www.prolinux.de besucht und die Syntax von iptables in einer Stunde gelernt, jedoch funktioniert mein Script natürlich nicht (*seufz, schluchz).
Tja, Theorie und Praxis sind zwei paa Schuhe. ;-))
Ich habe in einer Stunde gelernt, wie man die Figuren setzt, ....Karpow gewinnt immer noch (*seufz*).
*lol* Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++
participants (3)
-
Bernd Schmelter
-
LaBelle Furneaux
-
Michael Raab