Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Iptables zugriff nur auf einen bestimmten port von einem bestimmten neterkkarte

Frage Linux Linux Netzwerk

Mitglied: micneu

micneu (Level 2) - Jetzt verbinden

16.06.2011, aktualisiert 09:55 Uhr, 4040 Aufrufe, 6 Kommentare

Hallo Leute,

ich bin noch nicht so fit in iptables und möchte eine openvpn Verbindung so einschränken das die User nur auf den Port 80 kommen über die Verbindung.
Alle anderen sollen keine Einschränkungen habe.

Mein Ansatz ist:
01.
iptables -A firewall -o tap1 -d ! 192.168.201.1 -j DROP 
02.
iptables -A firewall -o tap1 -p tcp --dport ! 80 -j DROP 
03.
oder 
04.
iptables -A firewall -o tap1 -d ! 192.168.201.1 -p tcp --dport ! 80 -j DROP
01.
iptables -A firewall -o tap1 -p icmp -j ACCEPT 
02.
oder  
03.
iptables -A firewall -p icmp -j ACCEPT
hoffe ihr könnt mir helfen.

gruß michael
Mitglied: Hitman4021
16.06.2011 um 10:03 Uhr
Hallo,

Versuchs mal so

01.
#################################### 
02.
## 
03.
##	Allgemeine Definitionen 
04.
## 
05.
#################################### 
06.
IPTABLES="/sbin/iptables"	#Pfad zu den Iptables 
07.
ECHO="/bin/echo"		#echo 
08.
TAP="eth0"			#Standard Netzwerkkart 
09.
DEFAULT="tap"			#OpenVPN Netzwerkkarte 
10.
HTTP="80"                          #HTTP Port 
11.
 
12.
#################################### 
13.
## 
14.
## Aktiviere Forwarding 
15.
## 
16.
#################################### 
17.
$ECHO "1" > /proc/sys/net/ipv4/ip_forward 
18.
 
19.
#################################### 
20.
## 
21.
## Leere die Ketten  
22.
## 
23.
#################################### 
24.
$IPTABLES -F 
25.
 
26.
#################################### 
27.
## 
28.
## Sperre Forwarding 
29.
## 
30.
#################################### 
31.
$IPTABLES -P FORWARD DROP 
32.
 
33.
#################################### 
34.
## 
35.
## Regeln 
36.
## 
37.
#################################### 
38.
#Erlaube Antworten auf  bereits angenommene Verbindungen 
39.
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
40.
#Erlaube neue Verbindungen auf Port 80 
41.
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p tcp --dport $HTTP  -m state --state NEW -j ACCEPT 
42.
 
Und für die ICMP Funktion Ping die du warscheinlich mit dem zweiten Fenster meinst würde das in etwas so aussehen
01.
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p icmp --icmp-type ping -m state --state NEW -j ACCEPT
Gruß
Hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:12 Uhr
@HITMAN;
danke, warum sperrst du Forwarding?

ich habe mehrere OpenVPN´s laufen und möchte die anderen bisher nicht einschrenken, die sollen vollen zugriff auf das komplette netz haben.

gruß michael
Bitte warten ..
Mitglied: Hitman4021
16.06.2011 um 10:15 Uhr
Hallo,

okay da habe ich was falsch verstanden. Ich habe das so verstanden das du alle User die über Open VPN arbeiten nur Port 80 anbieten willst.
Also du willst nur einen einzigen User alles bis auf Port 80 sperren?
Habe ich das jetzt richtig verstanden?

Gruß
hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:20 Uhr
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach alles.

ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?

gruß michael
Bitte warten ..
Mitglied: Hitman4021
16.06.2011 um 10:32 Uhr
Zitat von micneu:
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach
alles

01.
#Nehme Verbindungen von Port 80 an und Erlaube Ping 
02.
$IPTABLES -A FORWARD -i $TAP1 -p tcp --dport $HTTP  -m state --state NEW -j ACCEPT  
03.
$IPTABLES -A FORWARD -i $TAP1 -p icmp --icmp-type ping -m state --state NEW -j ACCEPT 
04.
#Lehne alle Anfragen ab die oben nicht explizit genehmigt worden sind 
05.
$IPTABLES -A FORWARD -i $TAP1 -p tcp -j DROP 
06.
$IPTABLES -A FORWARD -i $TAP1 -p udp -j DROP 
07.
$IPTABLES -A FORWARD -i $TAP1 -p icmp -j DROP


ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
Naja ich kann ohne die Definitionen nicht wirklich was anfangen also hab ich es gleich neu versucht ;)

du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?
Das -o sagt über welche schnittstelle etwas rausgeht aber du willst alles was VON (also -i) tap1 kommt sperren

gruß Hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:53 Uhr
danke....

gruß michael
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben (1)

Frage von conym18 zum Thema Windows Server ...

Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

DSL, VDSL
Telekom blockiert immer noch den Port 7547 in ihrem Netz (8)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...