Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Iptables zugriff nur auf einen bestimmten port von einem bestimmten neterkkarte

Frage Linux Linux Netzwerk

Mitglied: micneu

micneu (Level 2) - Jetzt verbinden

16.06.2011, aktualisiert 09:55 Uhr, 4056 Aufrufe, 6 Kommentare

Hallo Leute,

ich bin noch nicht so fit in iptables und möchte eine openvpn Verbindung so einschränken das die User nur auf den Port 80 kommen über die Verbindung.
Alle anderen sollen keine Einschränkungen habe.

Mein Ansatz ist:
01.
iptables -A firewall -o tap1 -d ! 192.168.201.1 -j DROP 
02.
iptables -A firewall -o tap1 -p tcp --dport ! 80 -j DROP 
03.
oder 
04.
iptables -A firewall -o tap1 -d ! 192.168.201.1 -p tcp --dport ! 80 -j DROP
01.
iptables -A firewall -o tap1 -p icmp -j ACCEPT 
02.
oder  
03.
iptables -A firewall -p icmp -j ACCEPT
hoffe ihr könnt mir helfen.

gruß michael
Mitglied: Hitman4021
16.06.2011 um 10:03 Uhr
Hallo,

Versuchs mal so

01.
#################################### 
02.
## 
03.
##	Allgemeine Definitionen 
04.
## 
05.
#################################### 
06.
IPTABLES="/sbin/iptables"	#Pfad zu den Iptables 
07.
ECHO="/bin/echo"		#echo 
08.
TAP="eth0"			#Standard Netzwerkkart 
09.
DEFAULT="tap"			#OpenVPN Netzwerkkarte 
10.
HTTP="80"                          #HTTP Port 
11.
 
12.
#################################### 
13.
## 
14.
## Aktiviere Forwarding 
15.
## 
16.
#################################### 
17.
$ECHO "1" > /proc/sys/net/ipv4/ip_forward 
18.
 
19.
#################################### 
20.
## 
21.
## Leere die Ketten  
22.
## 
23.
#################################### 
24.
$IPTABLES -F 
25.
 
26.
#################################### 
27.
## 
28.
## Sperre Forwarding 
29.
## 
30.
#################################### 
31.
$IPTABLES -P FORWARD DROP 
32.
 
33.
#################################### 
34.
## 
35.
## Regeln 
36.
## 
37.
#################################### 
38.
#Erlaube Antworten auf  bereits angenommene Verbindungen 
39.
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
40.
#Erlaube neue Verbindungen auf Port 80 
41.
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p tcp --dport $HTTP  -m state --state NEW -j ACCEPT 
42.
 
Und für die ICMP Funktion Ping die du warscheinlich mit dem zweiten Fenster meinst würde das in etwas so aussehen
01.
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p icmp --icmp-type ping -m state --state NEW -j ACCEPT
Gruß
Hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:12 Uhr
@HITMAN;
danke, warum sperrst du Forwarding?

ich habe mehrere OpenVPN´s laufen und möchte die anderen bisher nicht einschrenken, die sollen vollen zugriff auf das komplette netz haben.

gruß michael
Bitte warten ..
Mitglied: Hitman4021
16.06.2011 um 10:15 Uhr
Hallo,

okay da habe ich was falsch verstanden. Ich habe das so verstanden das du alle User die über Open VPN arbeiten nur Port 80 anbieten willst.
Also du willst nur einen einzigen User alles bis auf Port 80 sperren?
Habe ich das jetzt richtig verstanden?

Gruß
hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:20 Uhr
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach alles.

ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?

gruß michael
Bitte warten ..
Mitglied: Hitman4021
16.06.2011 um 10:32 Uhr
Zitat von micneu:
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach
alles

01.
#Nehme Verbindungen von Port 80 an und Erlaube Ping 
02.
$IPTABLES -A FORWARD -i $TAP1 -p tcp --dport $HTTP  -m state --state NEW -j ACCEPT  
03.
$IPTABLES -A FORWARD -i $TAP1 -p icmp --icmp-type ping -m state --state NEW -j ACCEPT 
04.
#Lehne alle Anfragen ab die oben nicht explizit genehmigt worden sind 
05.
$IPTABLES -A FORWARD -i $TAP1 -p tcp -j DROP 
06.
$IPTABLES -A FORWARD -i $TAP1 -p udp -j DROP 
07.
$IPTABLES -A FORWARD -i $TAP1 -p icmp -j DROP


ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
Naja ich kann ohne die Definitionen nicht wirklich was anfangen also hab ich es gleich neu versucht ;)

du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?
Das -o sagt über welche schnittstelle etwas rausgeht aber du willst alles was VON (also -i) tap1 kommt sperren

gruß Hitman
Bitte warten ..
Mitglied: micneu
16.06.2011 um 10:53 Uhr
danke....

gruß michael
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben (1)

Frage von conym18 zum Thema Windows Server ...

Hardware
16-20 Port POE Switch mit VLAN (14)

Frage von thomasreischer zum Thema Hardware ...

Router & Routing
Libvirt Port forwarding

Frage von fundave3 zum Thema Router & Routing ...

Windows Server
gelöst Site to Site VPN (Kein Zugriff von Client auf Remote Server) (3)

Frage von subsee zum Thema Windows Server ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(2)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (22)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...

Outlook & Mail
Outlook 2010 mit Exchange 2016 (15)

Frage von slansky zum Thema Outlook & Mail ...