Guten Tag, ich bin dabei eine Firewall mit Iptables aufzubauen. Doch ich finde im Internet keine richtigen Beispiel Firewalls. Ich kann von meiner Firewall nicht pingen, woran könnte das liegen? Wie ist die Regel für den Ping? Firewall: #!/bin/bash IPTABLES=/usr/sbin/iptables DEV_LOC=eth0 DEV_EXT=ppp0 for IF in $DEV_LOC $DEV_EXT ; do echo "1" > /proc/sys/net/ipv4/conf/$IF/rp_filter echo "0" > /proc/sys/net/ipv4/conf/$IF/accept_redirects echo "0" > /proc/sys/net/ipv4/conf/$IF/accept_source_route echo "0" > /proc/sys/net/ipv4/conf/$IF/bootp_relay echo "1" > /proc/sys/net/ipv4/conf/$IF/log_martians done echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate echo -n "start firewall" $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -N nirwana $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP " $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP " $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP " $IPTABLES -A nirwana -p TCP -j DROP echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/ip_forward $IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE $IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana echo -n "start firewall6" echo -n "start firewall7" $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT # DNS # IP-Adresse des Nameserver beim ISP: 194.64.64.1 $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d 217.237.159.193 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -o $DEV_EXT -p udp --sport 1024:65535 --dport domain -d 217.237.159.193 -m state --state NEW -j ACCEPT # SMTP: ausgehende Emails $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport smtp -m state --state NEW -j ACCEPT # POP3: Emails abholen $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport pop3 -m state --state NEW -j ACCEPT ## HTTP $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT ## HTTPS (Secure HTTP) $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -j nirwana $IPTABLES -A OUTPUT -j nirwana $IPTABLES -A FORWARD -j nirwana Es wäre sehr nett, wenn Sie mir schreiben würden wo der Fehler ist. Gruß Udo Lütkemeier --
On Sat, 14 Jul 2001, Udo Lütkemeier wrote:
Guten Tag,
ich bin dabei eine Firewall mit Iptables aufzubauen. Doch ich finde im Internet keine richtigen Beispiel Firewalls.
Ich kann von meiner Firewall nicht pingen, woran könnte das liegen? Wie ist die Regel für den Ping?
Firewall:
#!/bin/bash
IPTABLES=/usr/sbin/iptables DEV_LOC=eth0 DEV_EXT=ppp0
for IF in $DEV_LOC $DEV_EXT ; do echo "1" > /proc/sys/net/ipv4/conf/$IF/rp_filter echo "0" > /proc/sys/net/ipv4/conf/$IF/accept_redirects echo "0" > /proc/sys/net/ipv4/conf/$IF/accept_source_route echo "0" > /proc/sys/net/ipv4/conf/$IF/bootp_relay echo "1" > /proc/sys/net/ipv4/conf/$IF/log_martians done
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate
echo -n "start firewall"
$IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP
$IPTABLES -F $IPTABLES -t nat -F $IPTABLES -X
$IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -N nirwana $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP " $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP " $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP " $IPTABLES -A nirwana -p TCP -j DROP
echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/ip_forward $IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana
echo -n "start firewall6" echo -n "start firewall7"
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT
# DNS
# IP-Adresse des Nameserver beim ISP: 194.64.64.1 $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d 217.237.159.193 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -o $DEV_EXT -p udp --sport 1024:65535 --dport domain -d 217.237.159.193 -m state --state NEW -j ACCEPT
# SMTP: ausgehende Emails $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport smtp -m state --state NEW -j ACCEPT
# POP3: Emails abholen $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport pop3 -m state --state NEW -j ACCEPT
## HTTP $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT
## HTTPS (Secure HTTP) $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -j nirwana $IPTABLES -A OUTPUT -j nirwana $IPTABLES -A FORWARD -j nirwana Du hast zwar die Chain nirwana definiert, wo alle icmp-Pakete geloggt werden, du solltest diese Pakete aber dann auch erlauben. Die LOG-Chain macht nur einen Eintrag im syslogd. Danach wird das Paket an die nächste Regel weitergeleitet.
Gruß Lars PS: du findest ein Beispielskript unter http://www.laas.de/html/Projects/Linux/Inhalt.html
--On Samstag, 14. Juli 2001 15:48 +0200 Udo Lütkemeier
Guten Tag,
ich bin dabei eine Firewall mit Iptables aufzubauen. Doch ich finde im Internet keine richtigen Beispiel Firewalls. http://www.sentry.net/~obsid/IPTables/rc.scripts.dir/current/
Ich kann von meiner Firewall nicht pingen, woran könnte das liegen? Wie ist die Regel für den Ping?
Gruß Joachim -- Joachim Janssen | Jaderbergerstr. 70 | D 26316 Varel/Friesland Tel:+49-4451-862314 | Fax:+49-4451-957712 | Mobil:+49-175-2420193 http://www.iqual.de/ 00101010
Guten Tag,
ich bin dabei eine Firewall mit Iptables aufzubauen. Doch ich finde im Internet keine richtigen Beispiel Firewalls. Schau mal unter http://my.netfilter.se/fw/devel/firewall-iptables.sh.gz Ist einfach konfigurierbar und man kann auch einiges draus lernen :-)
R. Rethmann
Cocon Commerz GmbH
Hallo Udo, Saturday, July 14, 2001, 3:48:42 PM, gabst Du zum Besten:
Guten Tag,
ich bin dabei eine Firewall mit Iptables aufzubauen. Doch ich finde im Internet keine richtigen Beispiel Firewalls.
Schau doch mal hier: http://www.swobspace.de/linux/index.html Das ist die Homepage des SuSE Firewall Handbuches, welches Ich im übrigen sehr gut finde und nur weiterempfehlen kann. Dort findest Du auch passende Beispiel Scripte. Läuft bei mir zu Hause hervorragend! Die Scripte sehen deinem Script sogar sehr ähnlich. Schon deshalb würde sich ein Blick lohnen!!
Ich kann von meiner Firewall nicht pingen, woran könnte das liegen? Wie ist die Regel für den Ping?
Firewall:
#!/bin/bash
IPTABLES=/usr/sbin/iptables DEV_LOC=eth0 DEV_EXT=ppp0
for IF in $DEV_LOC $DEV_EXT ; do echo "1" >> /proc/sys/net/ipv4/conf/$IF/rp_filter echo "0" >> /proc/sys/net/ipv4/conf/$IF/accept_redirects echo "0" >> /proc/sys/net/ipv4/conf/$IF/accept_source_route echo "0" >> /proc/sys/net/ipv4/conf/$IF/bootp_relay echo "1" >> /proc/sys/net/ipv4/conf/$IF/log_martians done
echo "1" >> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "1" >> /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo "5" >> /proc/sys/net/ipv4/icmp_destunreach_rate echo "5" >> /proc/sys/net/ipv4/icmp_echoreply_rate echo "5" >> /proc/sys/net/ipv4/icmp_paramprob_rate echo "10" >> /proc/sys/net/ipv4/icmp_timeexceed_rate
echo -n "start firewall"
$IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP
$IPTABLES -F $IPTABLES -t nat -F $IPTABLES -X
$IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -N nirwana $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP " $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP " $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP " $IPTABLES -A nirwana -p TCP -j DROP
echo "1" >> /proc/sys/net/ipv4/ip_dynaddr echo "1" >> /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana
echo -n "start firewall6" echo -n "start firewall7"
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT
# DNS
# IP-Adresse des Nameserver beim ISP: 194.64.64.1 $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d 217.237.159.193 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -o $DEV_EXT -p udp --sport 1024:65535 --dport domain -d 217.237.159.193 -m state --state NEW -j ACCEPT
# SMTP: ausgehende Emails $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport smtp -m state --state NEW -j ACCEPT
# POP3: Emails abholen $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport pop3 -m state --state NEW -j ACCEPT
## HTTP $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT
## HTTPS (Secure HTTP) $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -j nirwana $IPTABLES -A OUTPUT -j nirwana $IPTABLES -A FORWARD -j nirwana
Es wäre sehr nett, wenn Sie mir schreiben würden wo der Fehler ist.
Gruß
Udo Lütkemeier
--
-- MfG, Daniel Sandmeier mailto:Daniel.Sandmeier@hwk-do.de We All live in a yellow subroutine!
Griaseichallemidananda! Am Montag, 16. Juli 2001 12:49 schrieb Daniel Sandmeier:
Schau doch mal hier: http://www.swobspace.de/linux/index.html Das ist die Homepage des SuSE Firewall Handbuches, welches Ich im übrigen sehr gut finde und nur weiterempfehlen kann.
Richtig! Das Buch ist gut, wenn es auch für mich noch ein paar Fragen mehr aufgeworfen hat! Wenn ich mir über eine firewall Gedanken mache, bin ich doch eigentlich der Meinung, alles nur denkliche unternommen zu haben, meinen Rechner / Netzwerk gegen unerlaubte Zugriffe und Manipulationen geschützt zu haben. ABER! Wie kann ich denn überprüfen, ob meine Anstrengungen auch den gewünschten Erfolg haben. Klar, komme ich nicht mehr raus, dann hab' ich etwas falsch gemacht. Aber wer sagt mir denn, ob mein Netzwerk nun auch wirklich sicher ist? Pfiadseich! Michael Nausch -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
On Tuesday 17 July 2001 19:27, Michael Nausch wrote:
Griaseichallemidananda!
Am Montag, 16. Juli 2001 12:49 schrieb Daniel Sandmeier:
Schau doch mal hier: http://www.swobspace.de/linux/index.html Das ist die Homepage des SuSE Firewall Handbuches, welches Ich im übrigen sehr gut finde und nur weiterempfehlen kann.
Richtig! Das Buch ist gut, wenn es auch für mich noch ein paar Fragen mehr aufgeworfen hat!
Wenn ich mir über eine firewall Gedanken mache, bin ich doch eigentlich der Meinung, alles nur denkliche unternommen zu haben, meinen Rechner / Netzwerk gegen unerlaubte Zugriffe und Manipulationen geschützt zu haben.
ABER! Wie kann ich denn überprüfen, ob meine Anstrengungen auch den gewünschten Erfolg haben. Klar, komme ich nicht mehr raus, dann hab' ich etwas falsch gemacht. Aber wer sagt mir denn, ob mein Netzwerk nun auch wirklich sicher ist?
Na zum Beispiel ein Freund/Bekannter der Dich mal ordentlich durchscannt. Es gibt auch im Web einige Adressen, wo man sein System testen kann, nur hab ich leider davon im Moment keine zur Hand. Wenn ich spaeter daheim bin, kann ich mal suchen. Btw.: Dein System ist auch trotz jeder noch so guten Firewall nie sicher. Wer wirklich will, kommt auch durch eine Firewall durch. Man kann nur den noetigen Aufwand so erhoehen, dass das Ergebnis sich nicht lohnt. Darauf baut alle Security. Merke: Richtig sicher ist nur Stecker raus. mfg, Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
On Tuesday, 17. July 2001 19:44, Gerhard Feiner wrote:
Es gibt auch im Web einige Adressen, wo man sein System testen kann, nur hab ich leider davon im Moment keine zur Hand. Wenn ich spaeter daheim bin, kann ich mal suchen.
Zum Beispiel o http://www.lfd.niedersachsen.de/service/service_selbstt.html Gruß, Stephan -- Stephan Hakuli | mailto: stephan@hakuli.de | * GnuPG/PGP-Key * | callto: 01 71 - 651 89 43 | available, please | surfto: http://www.hakuli.de | visit my homepage
participants (8)
-
Daniel Sandmeier -
Gerhard Feiner -
Joachim Janssen -
Lars Mucha -
Michael Nausch -
R. Rethmann -
Stephan Hakuli -
Udo Lütkemeier