Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall mit IPTables

Frage Linux Linux Netzwerk

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

17.11.2007, aktualisiert 18.11.2007, 6816 Aufrufe, 2 Kommentare

Hallo,

ich habe ein Problem mit meiner Firewall. Der Server hat 2 Netzwerkkarten und ist auf der einen Seite direkt an das DSL Modem angeschlossen und an der anderen Seite an ein Switch fürs LAN. Ich möchte nun das ich aus dem LAN auf einen POP3 Server im Internet zugreifen kann.

Das geht ja normalerweise mit iptables -A FORWARD. Das klappt aber in meinem Fall leider nicht und ich finde einfach den Fehler nicht. Ich weiss auch leider nicht wo ich den Fehler suchen soll. Liegt das Problem eventuell in dem Netzwerkaufbau - 2 x /8ter Netz?

Details:

eth0 (10.0.0.1o/8) -> LAN
eth1 (10.0.0.9/8) -> Zum DSL Modem (=10.0.0.1)

Routenkonfiguration mittels route:

01.
#routes.sh: 
02.
#*********** 
03.
 
04.
route add -host 10.0.0.1 dev eth1 
05.
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0 
06.
route add default gw 10.0.0.1
Firewallscript:

01.
#firewall.sh: 
02.
#************ 
03.
 
04.
#!/bin/bash 
05.
 
06.
modprobe ip_tables 
07.
modprobe ip_conntrack 
08.
modprobe ip_conntrack_irc 
09.
modprobe ip_conntrack_ftp 
10.
 
11.
iptables -F 
12.
 
13.
iptables -P INPUT DROP 
14.
iptables -P OUTPUT DROP 
15.
iptables -P FORWARD DROP 
16.
 
17.
iptables -A INPUT -i lo -j ACCEPT 
18.
iptables -A OUTPUT -o lo -j ACCEPT 
19.
 
20.
#Connection-Tracking aktivieren 
21.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
22.
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 
23.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
24.
 
25.
#PORT 995 (POP3 - SSL)  
26.
iptables -A FORWARD -m state --state NEW -p tcp --dport 995 -j ACCEPT 
27.
iptables -A FORWARD -m state --state NEW -p udp --dport 995 -j ACCEPT 
28.
 
29.
# ICMP Echo-Request (ping) zulassen und beantworten 
30.
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT 
31.
 
32.
# Forwarding/Routing 
33.
echo "Aktiviere IP-Routing" 
34.
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null 
35.
 
36.
# SYN-Cookies 
37.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null 
38.
 
39.
# Stop Source-Routing 
40.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done 
41.
 
42.
# Stop Redirecting 
43.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done 
44.
 
45.
# Reverse-Path-Filter 
46.
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done 
47.
 
48.
# BOOTP-Relaying ausschalten 
49.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done 
50.
 
51.
# Proxy-ARP ausschalten 
52.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done 
53.
 
54.
# Ungltige ICMP-Antworten ignorieren 
55.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null 
56.
 
57.
# ICMP Echo-Broadcasts ignorieren 
58.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null 
59.
 
60.
# Max. 500/Sekunde (5/Jiffie) senden 
61.
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit 
62.
 
63.
# Speicherallozierung und -timing für IP-De/-Fragmentierung 
64.
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh 
65.
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh 
66.
echo 30 > /proc/sys/net/ipv4/ipfrag_time 
67.
 
68.
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen 
69.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout 
70.
 
71.
# Maximal 3 Antworten auf ein TCP-SYN 
72.
echo 3 > /proc/sys/net/ipv4/tcp_retries1

Der Übersichtlichkeitshalber habe ich jetzt die Standardregeln weggelassen. Die Ausgabe von Route und iptables -L zeigt an:

01.
#route 
02.
Kernel IP routing table 
03.
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
04.
10.0.0.1        *               255.255.255.255 UH    0      0        0 eth1 
05.
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0 
06.
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth1
01.
# iptables -L 
02.
Chain INPUT (policy DROP) 
03.
target     prot opt source               destination          
04.
ACCEPT     0    --  anywhere             anywhere             
05.
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED  
06.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:webcache  
07.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https  
08.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:10022  
09.
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request  
10.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain  
11.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:domain  
12.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ipp  
13.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:ipp  
14.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
15.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42  
16.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ns  
17.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-dgm  
18.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn  
19.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds  
20.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ns  
21.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-dgm  
22.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ssn  
23.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:microsoft-ds  
24.
 
25.
Chain FORWARD (policy DROP) 
26.
target     prot opt source               destination          
27.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
28.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3s  
29.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:pop3s  
30.
 
31.
Chain OUTPUT (policy DROP) 
32.
target     prot opt source               destination          
33.
ACCEPT     0    --  anywhere             anywhere             
34.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED  
35.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver  
36.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42                   
Vielen Dank
Steve
Mitglied: Guenni
17.11.2007 um 16:23 Uhr
@Cubic83

Hi,


deine NW-Karten müssen in unterschiedlichen Netzen sein, z.b:

eth0: 10.0.0.10/16 --> LAN
eth1: 10.1.0.9/16 --> DSL, wobei das DSL-Modem im gleichen Netz ist,
wie diese NW-Karte.

Die NW-Karte eth1 bekommt als Gatewayadresse die IP des Modems,
die NW-Karte eth0 bekommt kein Gateway.

Routen müssen keine gesetzt werden, da durch die zwei Karten dem
Kernel die Routen bekannt sind.

Desweiteren muß NAT für die NW-Karte zum DSL aktiviert werden, da
sonst keine Adressübersetzung statt findet:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Gruß
Günni
Bitte warten ..
Mitglied: Cubic83
18.11.2007 um 09:43 Uhr
Hallo,

ich habe das jetzt ausprobiert und das hat auf Anhieb funktionniert. 2 getrennte Netze hätte ich so schnell nicht ausprobiert.

Vielen Dank!

Mit freundlichen Grüßen
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Firewall
Sendefehler 2101 - Firewall die Ursache (3)

Frage von honeybee zum Thema Firewall ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...