Hallo! Ich habe IPTABLES so installiert: ./make KERNEL_DIR=/boot ./make install KERNEL_DIR=/boot dann hab ich folgendes skript erstellt und ausgeführt: #!/bin/sh echo "Firewall wird gestartet..." # loesche den Inhalt aller tables iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT ############################################## # INPUT erlauben iptables -A INPUT -p TCP -j ACCEPT iptables -A INPUT -p UDP -j ACCEPT # FORWARD verwerfen iptables -A FORWARD -p TCP -j DROP iptables -A FORWARD -p UDP -j DROP #OUTPUT erlauben iptables -A OUTPUT -p TCP -j ACCEPT iptables -A OUTPUT -p UDP -j ACCEPT ############################################## # FTP erlauben iptables -A INPUT -p TCP --dport 21 -j ACCEPT iptables -A INPUT -p UDP --dport 21 -j ACCEPT #SSH erlauben iptables -A INPUT -p TCP --dport 22 -j ACCEPT iptables -A INPUT -p UDP --dport 22 -j ACCEPT # SMTP erlauben iptables -A INPUT -p TCP --dport 25 -j ACCEPT iptables -A INPUT -p UDP --dport 25 -j ACCEPT # HTTP erlauben iptables -A INPUT -p TCP --dport 80 -j ACCEPT iptables -A INPUT -p UDP --dport 80 -j ACCEPT #POP3 erlauben iptables -A INPUT -p TCP --dport 110 -j ACCEPT iptables -A INPUT -p UDP --dport 110 -j ACCEPT ################ Policy ####################### #Alles andere verwerfen iptables -A INPUT -p TCP -j DROP iptables -A INPUT -p UDP -j DROP iptables -A INPUT -p ICMP -j DROP echo "Firewall ist aktiv..." Aber irgendwie ist immer noch alles offen!?! Hab ich irgendwas falsch gemacht? Bis denn dann, Dennis.
Moin Dennis,
Aber irgendwie ist immer noch alles offen!?! klaro
Hab ich irgendwas falsch gemacht? ja, Du hättest eine Default-Policy angeben müssen. Normalerweise läßt ipchains erstmal alles durch, da sonst überhaupt keine Verbindungen möglich wären.
Aus man ipchains: ---- schanipsel ---- -P, --policy Set the policy for the chain to the given target. See the section TARGETS for the legal targets. Only non-userdefined chains can have policies, and neither built-in nor user-defined chains can be policy targets. ----schanapsel ---- bis denn ... /Frank/
Hallo, at Mon, 1 Apr 2002 01:21:34 +0200 Dennis Wicht wrote:
Ich habe IPTABLES so installiert:
./make KERNEL_DIR=/boot ^^^^^ ./make install KERNEL_DIR=/boot ^^^^^
Muss da nicht das Verzeichnis angegeben werden, wo die Kernelquellen liegen ? So jedenfalls backe ich mir iptables. Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Hallo, at Mon, 1 Apr 2002 01:30:43 +0200 Dennis Wicht wrote:
./make install KERNEL_DIR=/boot ^^^^^ Muss da nicht das Verzeichnis angegeben werden, wo die Kernelquellen liegen ? So jedenfalls backe ich mir iptables.
Welches ist das denn?
Normal liegen die Kernelquellen unter /usr/src/linux . Wenn Du Dir iptables selber backen willst, musst Du gegebenfalls auch den Kernel neu backen. Das steht aber alles in der Doku von iptables. Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Hallo!
Normal liegen die Kernelquellen unter /usr/src/linux . Wenn Du Dir iptables selber backen willst, musst Du gegebenfalls auch den Kernel neu backen. Das steht aber alles in der Doku von iptables.
Also das Verzeichniss existiert nicht ... habe Suse 7.3 - Minimalinstallation Wo könnte es denn noch sein? Und, in welchem Fall muss der Kernel neu gebacken werden? Danke, Dennis.
Hallo, at Mon, 1 Apr 2002 01:37:50 +0200 Dennis Wicht wrote:
* Michael Raab:
Normal liegen die Kernelquellen unter /usr/src/linux . Wenn Du Dir iptables selber backen willst, musst Du gegebenfalls auch den Kernel neu backen. Das steht aber alles in der Doku von iptables.
Also das Verzeichniss existiert nicht ... habe Suse 7.3 - Minimalinstallation
Hat Suse nicht das passende iptables dabei ? Versuch dir mal iptables mittels yast zu installieren.
Wo könnte es denn noch sein?
In Deinem Fall, befinden sich die kernelquellen noch auf der CD. ;)
Und, in welchem Fall muss der Kernel neu gebacken werden?
iptables hat eine sogenannte patch-o-matic. Wenn diese ausgeführt wurde, muss der Kernel neu gebacken werden. Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
hallo! das rpm find ich nicht mit yast2 auf dem server von suse. das problem ist, das der server im rz steht und ich da momentan keine cd reinschieben kann... bekommt man das rpm noch woanders her? auf iptables.org is halt nur alles im src code vorhanden... Danke, Dennis.
Hallo, * Am 01.04.2002 zauberte Dennis Wicht:
hallo!
das rpm find ich nicht mit yast2 auf dem server von suse. das problem ist, das der server im rz steht und ich da momentan keine cd reinschieben kann... bekommt man das rpm noch woanders her? auf iptables.org is halt nur alles im src code vorhanden...
Daheim von der DVD runterkopieren und per eMail/ftp/scp oder irgend ein anderer Dienst rüberschieben und rpm -i iptables.rpm machen. -- Gruß Alex -- [Über die A6] >Aber die gehört aus_gebaut_! Was soll das bringen? Gut, man kann sie vielleicht ausbauen, aber dann hat man halt die Autobahn und die lange Rinne, in die sie hineingebaut war, einzeln. Was soll dort noch fahren? Panzer? Man könnte das ja fluten und mit der Gondel fahren ... [flo und Moss in suse-talk]
Am Montag, 1. April 2002 01:21 schrieb Dennis Wicht:
############################################## # INPUT erlauben iptables -A INPUT -p TCP -j ACCEPT iptables -A INPUT -p UDP -j ACCEPT
Damit machst Du als erste Regel generell alle TCP- und UDP-Ports auf, egal von wem und woher. Andere Regelen für den Eingang kannst Du Dir getrost sparen, denn das ist die erste, die wird gültig und der Rest ist für die Katz.
# FORWARD verwerfen iptables -A FORWARD -p TCP -j DROP iptables -A FORWARD -p UDP -j DROP
Geforwarded wird nix, ok.
#OUTPUT erlauben iptables -A OUTPUT -p TCP -j ACCEPT iptables -A OUTPUT -p UDP -j ACCEPT
Ausgang ist offen wie der Eingang (siehe oben).
Aber irgendwie ist immer noch alles offen!?!
Jo.
Hab ich irgendwas falsch gemacht?
Jo.
Bis denn dann,
Ich wünsch ne gute Nacht (wird Zeit, dass die Feiertage wieder rum sind und ich zu anständigen Zeiten ins Bett komme ;-) ). -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
On Mon, Apr 01, 2002 at 01:21:34 +0200, Dennis Wicht wrote:
# loesche den Inhalt aller tables iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT
############################################## # INPUT erlauben iptables -A INPUT -p TCP -j ACCEPT iptables -A INPUT -p UDP -j ACCEPT
hier machst Du schon alles auf. Geplant war wohl, eine Default-Policy zu setzten. Das geht mit: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Danach kommen Deine anderen Regeln. Aber bedenke: nicht jedes Protokoll nutzt TCP und UDP immer gleichzeitig. Gruß Jens -- GCS/IT/S d-@ s+:- a>-- C+++ UL+++ P+++ L+++ E--- W- N++ o+ K? W O- M- !V PS+ PE Y+ PGP++ t++ 5- X+ R- tv- b- DI? D+ G e* h+ r y+@
participants (6)
-
Alex Klein -
Dennis Wicht -
Frank Röske -
Jens Tautenhahn -
Manfred Tremmel -
Michael Raab