Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall mit IPTables

Frage Linux Linux Netzwerk

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

17.11.2007, aktualisiert 18.11.2007, 6852 Aufrufe, 2 Kommentare

Hallo,

ich habe ein Problem mit meiner Firewall. Der Server hat 2 Netzwerkkarten und ist auf der einen Seite direkt an das DSL Modem angeschlossen und an der anderen Seite an ein Switch fürs LAN. Ich möchte nun das ich aus dem LAN auf einen POP3 Server im Internet zugreifen kann.

Das geht ja normalerweise mit iptables -A FORWARD. Das klappt aber in meinem Fall leider nicht und ich finde einfach den Fehler nicht. Ich weiss auch leider nicht wo ich den Fehler suchen soll. Liegt das Problem eventuell in dem Netzwerkaufbau - 2 x /8ter Netz?

Details:

eth0 (10.0.0.1o/8) -> LAN
eth1 (10.0.0.9/8) -> Zum DSL Modem (=10.0.0.1)

Routenkonfiguration mittels route:

01.
#routes.sh: 
02.
#*********** 
03.
 
04.
route add -host 10.0.0.1 dev eth1 
05.
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0 
06.
route add default gw 10.0.0.1
Firewallscript:

01.
#firewall.sh: 
02.
#************ 
03.
 
04.
#!/bin/bash 
05.
 
06.
modprobe ip_tables 
07.
modprobe ip_conntrack 
08.
modprobe ip_conntrack_irc 
09.
modprobe ip_conntrack_ftp 
10.
 
11.
iptables -F 
12.
 
13.
iptables -P INPUT DROP 
14.
iptables -P OUTPUT DROP 
15.
iptables -P FORWARD DROP 
16.
 
17.
iptables -A INPUT -i lo -j ACCEPT 
18.
iptables -A OUTPUT -o lo -j ACCEPT 
19.
 
20.
#Connection-Tracking aktivieren 
21.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
22.
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
23.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
24.
 
25.
#PORT 995 (POP3 - SSL)  
26.
iptables -A FORWARD -m state --state NEW -p tcp --dport 995 -j ACCEPT 
27.
iptables -A FORWARD -m state --state NEW -p udp --dport 995 -j ACCEPT 
28.
 
29.
# ICMP Echo-Request (ping) zulassen und beantworten 
30.
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT 
31.
 
32.
# Forwarding/Routing 
33.
echo "Aktiviere IP-Routing" 
34.
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null 
35.
 
36.
# SYN-Cookies 
37.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null 
38.
 
39.
# Stop Source-Routing 
40.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done 
41.
 
42.
# Stop Redirecting 
43.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done 
44.
 
45.
# Reverse-Path-Filter 
46.
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done 
47.
 
48.
# BOOTP-Relaying ausschalten 
49.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done 
50.
 
51.
# Proxy-ARP ausschalten 
52.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done 
53.
 
54.
# Ungltige ICMP-Antworten ignorieren 
55.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null 
56.
 
57.
# ICMP Echo-Broadcasts ignorieren 
58.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null 
59.
 
60.
# Max. 500/Sekunde (5/Jiffie) senden 
61.
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit 
62.
 
63.
# Speicherallozierung und -timing für IP-De/-Fragmentierung 
64.
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh 
65.
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh 
66.
echo 30 > /proc/sys/net/ipv4/ipfrag_time 
67.
 
68.
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen 
69.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout 
70.
 
71.
# Maximal 3 Antworten auf ein TCP-SYN 
72.
echo 3 > /proc/sys/net/ipv4/tcp_retries1

Der Übersichtlichkeitshalber habe ich jetzt die Standardregeln weggelassen. Die Ausgabe von Route und iptables -L zeigt an:

01.
#route 
02.
Kernel IP routing table 
03.
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
04.
10.0.0.1        *               255.255.255.255 UH    0      0        0 eth1 
05.
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0 
06.
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth1
01.
# iptables -L 
02.
Chain INPUT (policy DROP) 
03.
target     prot opt source               destination          
04.
ACCEPT     0    --  anywhere             anywhere             
05.
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED  
06.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:webcache  
07.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https  
08.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:10022  
09.
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request  
10.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain  
11.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:domain  
12.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ipp  
13.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:ipp  
14.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
15.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42  
16.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ns  
17.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-dgm  
18.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn  
19.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds  
20.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ns  
21.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-dgm  
22.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ssn  
23.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:microsoft-ds  
24.
 
25.
Chain FORWARD (policy DROP) 
26.
target     prot opt source               destination          
27.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
28.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3s  
29.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:pop3s  
30.
 
31.
Chain OUTPUT (policy DROP) 
32.
target     prot opt source               destination          
33.
ACCEPT     0    --  anywhere             anywhere             
34.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
35.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
36.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42                   
Vielen Dank
Steve
Mitglied: Guenni
17.11.2007 um 16:23 Uhr
@Cubic83

Hi,


deine NW-Karten müssen in unterschiedlichen Netzen sein, z.b:

eth0: 10.0.0.10/16 --> LAN
eth1: 10.1.0.9/16 --> DSL, wobei das DSL-Modem im gleichen Netz ist,
wie diese NW-Karte.

Die NW-Karte eth1 bekommt als Gatewayadresse die IP des Modems,
die NW-Karte eth0 bekommt kein Gateway.

Routen müssen keine gesetzt werden, da durch die zwei Karten dem
Kernel die Routen bekannt sind.

Desweiteren muß NAT für die NW-Karte zum DSL aktiviert werden, da
sonst keine Adressübersetzung statt findet:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Gruß
Günni
Bitte warten ..
Mitglied: Cubic83
18.11.2007 um 09:43 Uhr
Hallo,

ich habe das jetzt ausprobiert und das hat auf Anhieb funktionniert. 2 getrennte Netze hätte ich so schnell nicht ausprobiert.

Vielen Dank!

mfG
Bitte warten ..
Ähnliche Inhalte
Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Linux Netzwerk
IPtables GeoIp Firewall und Weiterleitung
gelöst Frage von simi123Linux Netzwerk4 Kommentare

Hallo, Ich probiere schon länger herum. Ich möchte eine "Firewall" mit IPtables realisieren, die per GeoIp alle Länder außer ...

Ubuntu
Ubuntu Server Firewall mit Iptables
gelöst Frage von GoogleBotUbuntu6 Kommentare

Guten Morgen Forum, Möchte gerne einen kleinen Server laufen lassen. Auf dem Server passiert nicht viel. Das einzige was ...

Linux Netzwerk
Plesk Firewall (IPTables) IMAP sperren ohne Funktion
Frage von NetworkUserLinux Netzwerk

Hallo, ich wende mich (leider) mit einem weiteren Problem an euch. Folgende Eckdaten zum Server: Ubuntu+Plesk12. Ich nutze die ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 2 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit7 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...