Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall mit IPTables

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

17.11.2007, aktualisiert 18.11.2007, 6885 Aufrufe, 2 Kommentare

Hallo,

ich habe ein Problem mit meiner Firewall. Der Server hat 2 Netzwerkkarten und ist auf der einen Seite direkt an das DSL Modem angeschlossen und an der anderen Seite an ein Switch fürs LAN. Ich möchte nun das ich aus dem LAN auf einen POP3 Server im Internet zugreifen kann.

Das geht ja normalerweise mit iptables -A FORWARD. Das klappt aber in meinem Fall leider nicht und ich finde einfach den Fehler nicht. Ich weiss auch leider nicht wo ich den Fehler suchen soll. Liegt das Problem eventuell in dem Netzwerkaufbau - 2 x /8ter Netz?

Details:

eth0 (10.0.0.1o/8) -> LAN
eth1 (10.0.0.9/8) -> Zum DSL Modem (=10.0.0.1)

Routenkonfiguration mittels route:

01.
#routes.sh: 
02.
#*********** 
03.
 
04.
route add -host 10.0.0.1 dev eth1 
05.
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0 
06.
route add default gw 10.0.0.1
Firewallscript:

01.
#firewall.sh: 
02.
#************ 
03.
 
04.
#!/bin/bash 
05.
 
06.
modprobe ip_tables 
07.
modprobe ip_conntrack 
08.
modprobe ip_conntrack_irc 
09.
modprobe ip_conntrack_ftp 
10.
 
11.
iptables -F 
12.
 
13.
iptables -P INPUT DROP 
14.
iptables -P OUTPUT DROP 
15.
iptables -P FORWARD DROP 
16.
 
17.
iptables -A INPUT -i lo -j ACCEPT 
18.
iptables -A OUTPUT -o lo -j ACCEPT 
19.
 
20.
#Connection-Tracking aktivieren 
21.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
22.
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
23.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
24.
 
25.
#PORT 995 (POP3 - SSL)  
26.
iptables -A FORWARD -m state --state NEW -p tcp --dport 995 -j ACCEPT 
27.
iptables -A FORWARD -m state --state NEW -p udp --dport 995 -j ACCEPT 
28.
 
29.
# ICMP Echo-Request (ping) zulassen und beantworten 
30.
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT 
31.
 
32.
# Forwarding/Routing 
33.
echo "Aktiviere IP-Routing" 
34.
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null 
35.
 
36.
# SYN-Cookies 
37.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null 
38.
 
39.
# Stop Source-Routing 
40.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done 
41.
 
42.
# Stop Redirecting 
43.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done 
44.
 
45.
# Reverse-Path-Filter 
46.
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done 
47.
 
48.
# BOOTP-Relaying ausschalten 
49.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done 
50.
 
51.
# Proxy-ARP ausschalten 
52.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done 
53.
 
54.
# Ungltige ICMP-Antworten ignorieren 
55.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null 
56.
 
57.
# ICMP Echo-Broadcasts ignorieren 
58.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null 
59.
 
60.
# Max. 500/Sekunde (5/Jiffie) senden 
61.
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit 
62.
 
63.
# Speicherallozierung und -timing für IP-De/-Fragmentierung 
64.
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh 
65.
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh 
66.
echo 30 > /proc/sys/net/ipv4/ipfrag_time 
67.
 
68.
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen 
69.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout 
70.
 
71.
# Maximal 3 Antworten auf ein TCP-SYN 
72.
echo 3 > /proc/sys/net/ipv4/tcp_retries1

Der Übersichtlichkeitshalber habe ich jetzt die Standardregeln weggelassen. Die Ausgabe von Route und iptables -L zeigt an:

01.
#route 
02.
Kernel IP routing table 
03.
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
04.
10.0.0.1        *               255.255.255.255 UH    0      0        0 eth1 
05.
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0 
06.
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth1
01.
# iptables -L 
02.
Chain INPUT (policy DROP) 
03.
target     prot opt source               destination          
04.
ACCEPT     0    --  anywhere             anywhere             
05.
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED  
06.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:webcache  
07.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https  
08.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:10022  
09.
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request  
10.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain  
11.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:domain  
12.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ipp  
13.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:ipp  
14.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
15.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42  
16.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ns  
17.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-dgm  
18.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn  
19.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds  
20.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ns  
21.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-dgm  
22.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ssn  
23.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:microsoft-ds  
24.
 
25.
Chain FORWARD (policy DROP) 
26.
target     prot opt source               destination          
27.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
28.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3s  
29.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:pop3s  
30.
 
31.
Chain OUTPUT (policy DROP) 
32.
target     prot opt source               destination          
33.
ACCEPT     0    --  anywhere             anywhere             
34.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
35.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
36.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42                   
Vielen Dank
Steve
Mitglied: Guenni
17.11.2007 um 16:23 Uhr
@Cubic83

Hi,


deine NW-Karten müssen in unterschiedlichen Netzen sein, z.b:

eth0: 10.0.0.10/16 --> LAN
eth1: 10.1.0.9/16 --> DSL, wobei das DSL-Modem im gleichen Netz ist,
wie diese NW-Karte.

Die NW-Karte eth1 bekommt als Gatewayadresse die IP des Modems,
die NW-Karte eth0 bekommt kein Gateway.

Routen müssen keine gesetzt werden, da durch die zwei Karten dem
Kernel die Routen bekannt sind.

Desweiteren muß NAT für die NW-Karte zum DSL aktiviert werden, da
sonst keine Adressübersetzung statt findet:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Gruß
Günni
Bitte warten ..
Mitglied: Cubic83
18.11.2007 um 09:43 Uhr
Hallo,

ich habe das jetzt ausprobiert und das hat auf Anhieb funktionniert. 2 getrennte Netze hätte ich so schnell nicht ausprobiert.

Vielen Dank!

mfG
Bitte warten ..
Ähnliche Inhalte
Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Linux Netzwerk

IPtables GeoIp Firewall und Weiterleitung

gelöst Frage von simi123Linux Netzwerk4 Kommentare

Hallo, Ich probiere schon länger herum. Ich möchte eine "Firewall" mit IPtables realisieren, die per GeoIp alle Länder außer ...

Ubuntu

Ubuntu Server Firewall mit Iptables

gelöst Frage von GoogleBotUbuntu6 Kommentare

Guten Morgen Forum, Möchte gerne einen kleinen Server laufen lassen. Auf dem Server passiert nicht viel. Das einzige was ...

Linux Netzwerk

Plesk Firewall (IPTables) IMAP sperren ohne Funktion

Frage von NetworkUserLinux Netzwerk

Hallo, ich wende mich (leider) mit einem weiteren Problem an euch. Folgende Eckdaten zum Server: Ubuntu+Plesk12. Ich nutze die ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 10 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware15 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Entwicklung
Ist dies als Programmieren zu bezeichen?
Frage von kmsw110Entwicklung13 Kommentare

Hallo, ein Kollege redet dauernd darüber das er im Betrieb seine Maschinen (Fräsmaschinen) Programmiert bzw. Zahlenwerte in ein .txt ...