Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Iptables zugriff nur auf einen bestimmten port von einem bestimmten neterkkarte

Frage Linux Linux Netzwerk

Mitglied: micneu

micneu (Level 2) - Jetzt verbinden

16.06.2011, aktualisiert 09:55 Uhr, 4098 Aufrufe, 6 Kommentare

Hallo Leute,

ich bin noch nicht so fit in iptables und möchte eine openvpn Verbindung so einschränken das die User nur auf den Port 80 kommen über die Verbindung.
Alle anderen sollen keine Einschränkungen habe.

Mein Ansatz ist:
01.
iptables -A firewall -o tap1 -d ! 192.168.201.1 -j DROP 
02.
iptables -A firewall -o tap1 -p tcp --dport ! 80 -j DROP 
03.
oder 
04.
iptables -A firewall -o tap1 -d ! 192.168.201.1 -p tcp --dport ! 80 -j DROP
01.
iptables -A firewall -o tap1 -p icmp -j ACCEPT 
02.
oder  
03.
iptables -A firewall -p icmp -j ACCEPT
hoffe ihr könnt mir helfen.

gruß michael
Mitglied: Hitman4021
16.06.2011 um 10:03 Uhr
Hallo,

Versuchs mal so

01.
#################################### 
02.
## 
03.
##	Allgemeine Definitionen 
04.
## 
05.
#################################### 
06.
IPTABLES="/sbin/iptables"	#Pfad zu den Iptables 
07.
ECHO="/bin/echo"		#echo 
08.
TAP="eth0"			#Standard Netzwerkkart 
09.
DEFAULT="tap"			#OpenVPN Netzwerkkarte 
10.
HTTP="80"                          #HTTP Port 
11.
 
12.
#################################### 
13.
## 
14.
## Aktiviere Forwarding 
15.
## 
16.
#################################### 
17.
$ECHO "1" > /proc/sys/net/ipv4/ip_forward 
18.
 
19.
#################################### 
20.
## 
21.
## Leere die Ketten  
22.
## 
23.
#################################### 
24.
$IPTABLES -F 
25.
 
26.
#################################### 
27.
## 
28.
## Sperre Forwarding 
29.
## 
30.
#################################### 
31.
$IPTABLES -P FORWARD DROP 
32.
 
33.
#################################### 
34.
## 
35.
## Regeln 
36.
## 
37.
#################################### 
38.
#Erlaube Antworten auf  bereits angenommene Verbindungen 
39.
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
40.
#Erlaube neue Verbindungen auf Port 80 
41.
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p tcp --dport $HTTP  -m state --state NEW -j ACCEPT 
42.
 
Und für die ICMP Funktion Ping die du warscheinlich mit dem zweiten Fenster meinst würde das in etwas so aussehen
01.
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p icmp --icmp-type ping -m state --state NEW -j ACCEPT
Gruß
Hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:12 Uhr
@HITMAN;
danke, warum sperrst du Forwarding?

ich habe mehrere OpenVPN´s laufen und möchte die anderen bisher nicht einschrenken, die sollen vollen zugriff auf das komplette netz haben.

gruß michael
Bitte warten ..
Mitglied: Hitman4021
16.06.2011 um 10:15 Uhr
Hallo,

okay da habe ich was falsch verstanden. Ich habe das so verstanden das du alle User die über Open VPN arbeiten nur Port 80 anbieten willst.
Also du willst nur einen einzigen User alles bis auf Port 80 sperren?
Habe ich das jetzt richtig verstanden?

Gruß
hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:20 Uhr
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach alles.

ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?

gruß michael
Bitte warten ..
Mitglied: Hitman4021
16.06.2011 um 10:32 Uhr
Zitat von micneu:
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach
alles

01.
#Nehme Verbindungen von Port 80 an und Erlaube Ping 
02.
$IPTABLES -A FORWARD -i $TAP1 -p tcp --dport $HTTP  -m state --state NEW -j ACCEPT  
03.
$IPTABLES -A FORWARD -i $TAP1 -p icmp --icmp-type ping -m state --state NEW -j ACCEPT 
04.
#Lehne alle Anfragen ab die oben nicht explizit genehmigt worden sind 
05.
$IPTABLES -A FORWARD -i $TAP1 -p tcp -j DROP 
06.
$IPTABLES -A FORWARD -i $TAP1 -p udp -j DROP 
07.
$IPTABLES -A FORWARD -i $TAP1 -p icmp -j DROP


ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
Naja ich kann ohne die Definitionen nicht wirklich was anfangen also hab ich es gleich neu versucht ;)

du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?
Das -o sagt über welche schnittstelle etwas rausgeht aber du willst alles was VON (also -i) tap1 kommt sperren

gruß Hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:53 Uhr
danke....

gruß michael
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst IPTABLES Regeln ersetzten (4)

Frage von SpeakerST zum Thema Batch & Shell ...

Firewall
Iptables Firewall (6)

Frage von verueckterHund zum Thema Firewall ...

Linux Netzwerk
Frage zu iptables (3)

Frage von Dextha zum Thema Linux Netzwerk ...

Ubuntu
gelöst Ubuntu Server Firewall mit Iptables (6)

Frage von GoogleBot zum Thema Ubuntu ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (21)

Frage von McLion zum Thema Router & Routing ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (20)

Frage von jensgebken zum Thema Windows Server ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Festplatten, SSD, Raid
gelöst Raidcontroller funktioniert nur, wenn unter Legacy-Boot gestartet wird (14)

Frage von DerWoWusste zum Thema Festplatten, SSD, Raid ...