Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall mit IPTables

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

17.11.2007, aktualisiert 18.11.2007, 6863 Aufrufe, 2 Kommentare

Hallo,

ich habe ein Problem mit meiner Firewall. Der Server hat 2 Netzwerkkarten und ist auf der einen Seite direkt an das DSL Modem angeschlossen und an der anderen Seite an ein Switch fürs LAN. Ich möchte nun das ich aus dem LAN auf einen POP3 Server im Internet zugreifen kann.

Das geht ja normalerweise mit iptables -A FORWARD. Das klappt aber in meinem Fall leider nicht und ich finde einfach den Fehler nicht. Ich weiss auch leider nicht wo ich den Fehler suchen soll. Liegt das Problem eventuell in dem Netzwerkaufbau - 2 x /8ter Netz?

Details:

eth0 (10.0.0.1o/8) -> LAN
eth1 (10.0.0.9/8) -> Zum DSL Modem (=10.0.0.1)

Routenkonfiguration mittels route:

01.
#routes.sh: 
02.
#*********** 
03.
 
04.
route add -host 10.0.0.1 dev eth1 
05.
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0 
06.
route add default gw 10.0.0.1
Firewallscript:

01.
#firewall.sh: 
02.
#************ 
03.
 
04.
#!/bin/bash 
05.
 
06.
modprobe ip_tables 
07.
modprobe ip_conntrack 
08.
modprobe ip_conntrack_irc 
09.
modprobe ip_conntrack_ftp 
10.
 
11.
iptables -F 
12.
 
13.
iptables -P INPUT DROP 
14.
iptables -P OUTPUT DROP 
15.
iptables -P FORWARD DROP 
16.
 
17.
iptables -A INPUT -i lo -j ACCEPT 
18.
iptables -A OUTPUT -o lo -j ACCEPT 
19.
 
20.
#Connection-Tracking aktivieren 
21.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
22.
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
23.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
24.
 
25.
#PORT 995 (POP3 - SSL)  
26.
iptables -A FORWARD -m state --state NEW -p tcp --dport 995 -j ACCEPT 
27.
iptables -A FORWARD -m state --state NEW -p udp --dport 995 -j ACCEPT 
28.
 
29.
# ICMP Echo-Request (ping) zulassen und beantworten 
30.
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT 
31.
 
32.
# Forwarding/Routing 
33.
echo "Aktiviere IP-Routing" 
34.
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null 
35.
 
36.
# SYN-Cookies 
37.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null 
38.
 
39.
# Stop Source-Routing 
40.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done 
41.
 
42.
# Stop Redirecting 
43.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done 
44.
 
45.
# Reverse-Path-Filter 
46.
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done 
47.
 
48.
# BOOTP-Relaying ausschalten 
49.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done 
50.
 
51.
# Proxy-ARP ausschalten 
52.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done 
53.
 
54.
# Ungltige ICMP-Antworten ignorieren 
55.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null 
56.
 
57.
# ICMP Echo-Broadcasts ignorieren 
58.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null 
59.
 
60.
# Max. 500/Sekunde (5/Jiffie) senden 
61.
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit 
62.
 
63.
# Speicherallozierung und -timing für IP-De/-Fragmentierung 
64.
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh 
65.
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh 
66.
echo 30 > /proc/sys/net/ipv4/ipfrag_time 
67.
 
68.
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen 
69.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout 
70.
 
71.
# Maximal 3 Antworten auf ein TCP-SYN 
72.
echo 3 > /proc/sys/net/ipv4/tcp_retries1

Der Übersichtlichkeitshalber habe ich jetzt die Standardregeln weggelassen. Die Ausgabe von Route und iptables -L zeigt an:

01.
#route 
02.
Kernel IP routing table 
03.
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
04.
10.0.0.1        *               255.255.255.255 UH    0      0        0 eth1 
05.
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0 
06.
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth1
01.
# iptables -L 
02.
Chain INPUT (policy DROP) 
03.
target     prot opt source               destination          
04.
ACCEPT     0    --  anywhere             anywhere             
05.
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED  
06.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:webcache  
07.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https  
08.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:10022  
09.
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request  
10.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain  
11.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:domain  
12.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ipp  
13.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:ipp  
14.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
15.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42  
16.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ns  
17.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-dgm  
18.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn  
19.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds  
20.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ns  
21.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-dgm  
22.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ssn  
23.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:microsoft-ds  
24.
 
25.
Chain FORWARD (policy DROP) 
26.
target     prot opt source               destination          
27.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
28.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3s  
29.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:pop3s  
30.
 
31.
Chain OUTPUT (policy DROP) 
32.
target     prot opt source               destination          
33.
ACCEPT     0    --  anywhere             anywhere             
34.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
35.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
36.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42                   
Vielen Dank
Steve
Mitglied: Guenni
17.11.2007 um 16:23 Uhr
@Cubic83

Hi,


deine NW-Karten müssen in unterschiedlichen Netzen sein, z.b:

eth0: 10.0.0.10/16 --> LAN
eth1: 10.1.0.9/16 --> DSL, wobei das DSL-Modem im gleichen Netz ist,
wie diese NW-Karte.

Die NW-Karte eth1 bekommt als Gatewayadresse die IP des Modems,
die NW-Karte eth0 bekommt kein Gateway.

Routen müssen keine gesetzt werden, da durch die zwei Karten dem
Kernel die Routen bekannt sind.

Desweiteren muß NAT für die NW-Karte zum DSL aktiviert werden, da
sonst keine Adressübersetzung statt findet:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Gruß
Günni
Bitte warten ..
Mitglied: Cubic83
18.11.2007 um 09:43 Uhr
Hallo,

ich habe das jetzt ausprobiert und das hat auf Anhieb funktionniert. 2 getrennte Netze hätte ich so schnell nicht ausprobiert.

Vielen Dank!

mfG
Bitte warten ..
Ähnliche Inhalte
Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Linux Netzwerk

IPtables GeoIp Firewall und Weiterleitung

gelöst Frage von simi123Linux Netzwerk4 Kommentare

Hallo, Ich probiere schon länger herum. Ich möchte eine "Firewall" mit IPtables realisieren, die per GeoIp alle Länder außer ...

Ubuntu

Ubuntu Server Firewall mit Iptables

gelöst Frage von GoogleBotUbuntu6 Kommentare

Guten Morgen Forum, Möchte gerne einen kleinen Server laufen lassen. Auf dem Server passiert nicht viel. Das einzige was ...

Linux Netzwerk

Plesk Firewall (IPTables) IMAP sperren ohne Funktion

Frage von NetworkUserLinux Netzwerk

Hallo, ich wende mich (leider) mit einem weiteren Problem an euch. Folgende Eckdaten zum Server: Ubuntu+Plesk12. Ich nutze die ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...