Firewall configuration
Firewall configuration
Hi
möchte jetzt schon langsam von suse auf debian wechseln und habe nun volgendes problem.
daher das ich 2 rechner habe ( einer linux anderer win XP)
konnte ich bei suse das locker in der firewall so einstellen das alle internet anfragen die von win xp kommen weiter leitet ( glaub masquering hat das geheisen)
nun soll debian die gateway funktion über nehmen wo stell ich das denn ein ??
gibt es bei debian auch eine firewall mit packet filter oder nur mit ip filter??
denn ich kenn mich nur halbwegs mit packet filter aus und schon gar nicht wie ich eine ip filter configuriern soll
meine letzte frage bezieht sich mehr auf eine grund frage ist sehr viel unterschied zwischen einem knoppix das ma auf die hd installiert hat und dem normalen woody???
greez ihop
möchte jetzt schon langsam von suse auf debian wechseln und habe nun volgendes problem.
daher das ich 2 rechner habe ( einer linux anderer win XP)
konnte ich bei suse das locker in der firewall so einstellen das alle internet anfragen die von win xp kommen weiter leitet ( glaub masquering hat das geheisen)
nun soll debian die gateway funktion über nehmen wo stell ich das denn ein ??
gibt es bei debian auch eine firewall mit packet filter oder nur mit ip filter??
denn ich kenn mich nur halbwegs mit packet filter aus und schon gar nicht wie ich eine ip filter configuriern soll
meine letzte frage bezieht sich mehr auf eine grund frage ist sehr viel unterschied zwischen einem knoppix das ma auf die hd installiert hat und dem normalen woody???
greez ihop
- Raoul
- Beiträge: 1435
- Registriert: 20.05.2003 00:16:35
- Lizenz eigener Beiträge: neue BSD Lizenz
-
Kontaktdaten:
Re: Firewall configuration
Brav Scherz bei Seite: Natürlich finde ich Debian gut, aber ich denke, SuSE ist auch keine schlechte Distribution und deshalb finde ich das ganze SuSE-Bashing, was machnachmal auch hier gepflegt wird, etwas albern.ihop hat geschrieben:möchte jetzt schon langsam von suse auf debian wechseln und habe nun volgendes problem.
schau mal hier und hiernun soll debian die gateway funktion über nehmen wo stell ich das denn ein ??
ja, nennt sich ipmasq.gibt es bei debian auch eine firewall mit packet filter oder nur mit ip filter??
Ist grob gesagt das gleiche. Iptables ist ein Paketfilter, damit kann man auch nach IPs filtern, routen und, was Du willst "maskieren". Der Rechner, der das macht, fungiert als Firewall. Eine Firewall ist ein Sicherheitskonzept, ein Paketfiler die Umsetzung.denn ich kenn mich nur halbwegs mit packet filter aus und schon gar nicht wie ich eine ip filter configuriern soll
Ja. Woody ist verglichen mit Knoppix uralt, Knoppix ist am ehesten vergleichbar mit Sarge.ist sehr viel unterschied zwischen einem knoppix das ma auf die hd installiert hat und dem normalen woody???
Viel Spaß mit Debian
wünscht
Raoul
Code: Alles auswählen
grep -ir fuck /usr/src/linux
danke für die hilfe nur habe ich nun das problem das mein icq vom xp rechner nimmer geht
zur zeit schaut mei dynfw so aus
Port 5190 ist ICQ soweit ich weis
Aja die IPs wirds vlt brauchen
Linux 192.168.0.1
XP 192.168.0.2
greez ihop
zur zeit schaut mei dynfw so aus
Code: Alles auswählen
#/bin/bash
# Global variables
EXTDEV=ppp0 # External device pointing to the internet
INTDEV=eth0 # Internal device pointing to the local net
INTLAN=192.168.1.0/24
IPTABLES=/sbin/iptables
case "$1" in
start)
echo "dynfw $1"
## Load modules
# modprobe iptable_nat
# modprobe iptable_filter
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp ports=7771,21
# modprobe ip_nat_ftp
# modprobe ip_tables
# modprobe ipt_MASQUERADE
# modprobe ipt_REJECT
## Enable Paketforwarding and set dynamic IP
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
## Flush tables and set default policy
$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t filter -F FORWARD
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
## Masquerading
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o $EXTDEV -s 192.168.1.0/16 -j MASQUERADE
## Allow all on localhost
$IPTABLES -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
# Define ports that should be open
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 21 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 80 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 22 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 5190 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p udp --dport 1863 -j ACCEPT
## Close all other ports
# $IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 1:1024 --syn -j REJECT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 901 --syn -j REJECT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 139 --syn -j REJECT
## Portforwarding
# Edonkey/Overnet:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to-dest 192.168.1.2
#ICQ
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5190 -j DNAT --to-dest 192.168.1.2
;;
restart)
echo "dynfw stop"
$0 stop && $0 start
;;
esac
Aja die IPs wirds vlt brauchen
Linux 192.168.0.1
XP 192.168.0.2
greez ihop
moin,
abgesehen davon dass der packetfilter grundsätzlich falsch konfiguriert ist (du hast die default policy auf ACCEPT) fehlen dir die stateful rules.
zudem ist INPUT port 5190 vollkommen sinnlos, das ist OUTPUT vom client aus (also FORWARD am router, wobei da durch deine FORWARD ACCEPT policy egal ist)
ich würde dir emfehlen dir ein fertiges iptables skript zu suchen (gibt bestimmt welche hier im forum) und dir das ganze noch mal in ruhe durch den kopf gehen zu lassen.
alle fehlkonfigurationen in dem skript zu erläutern mag ich gerade nicht
gruß
thorben
abgesehen davon dass der packetfilter grundsätzlich falsch konfiguriert ist (du hast die default policy auf ACCEPT) fehlen dir die stateful rules.
zudem ist INPUT port 5190 vollkommen sinnlos, das ist OUTPUT vom client aus (also FORWARD am router, wobei da durch deine FORWARD ACCEPT policy egal ist)
ich würde dir emfehlen dir ein fertiges iptables skript zu suchen (gibt bestimmt welche hier im forum) und dir das ganze noch mal in ruhe durch den kopf gehen zu lassen.
alle fehlkonfigurationen in dem skript zu erläutern mag ich gerade nicht
gruß
thorben
Schau dir mal folgendes fertiges Skript an:
http://www.linuxguruz.com/iptables/scri ... ll_023.txt
http://www.linuxguruz.com/iptables/scri ... ll_023.txt
das is schon eine fertige da habe ich kaum was selber gemacht man siehe
http://www.debianforum.de/wiki/?page=in ... bianmanier
und das firewallscript was du mir gezeigt hast is sicher recht gut aber ausskennen tu ich mich nicht bräuchte fürn anfang was kleineres denn ich kenn mich noch nüsse mit firewalls aus
was ist eig mit dem
http://de.geocities.com/ihop_ablage/firewall.txt
greez ihop
http://www.debianforum.de/wiki/?page=in ... bianmanier
und das firewallscript was du mir gezeigt hast is sicher recht gut aber ausskennen tu ich mich nicht bräuchte fürn anfang was kleineres denn ich kenn mich noch nüsse mit firewalls aus
was ist eig mit dem
http://de.geocities.com/ihop_ablage/firewall.txt
greez ihop
Zuletzt geändert von ihop am 30.08.2004 14:14:58, insgesamt 2-mal geändert.
@ihop: könntest Du das Script irgendwo extern ablegen und nur verlinken? Posten langer Scripts ist laut unseren Verhaltensregeln [1] nicht erwünscht. Wenn Du willst, dann kann ich das Script auch für Dich irgendwo ablegen. meld Dich einfach.
[1] http://www.debianforum.de/wiki/Debianfo ... tensregeln
Gruß Bert
[1] http://www.debianforum.de/wiki/Debianfo ... tensregeln
Gruß Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Und dann auch noch nur jede 2te Zeile mit Text gefüllt, bzw. als Leerzeile... Manchmal kann man schon den Eindruck haben, dass die Leute gar nicht *wollen*, dass man das liest...
Patrick
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
tut mir leid kommt nicht wieder vor ich werd den eintrag editieren und das script extern ablegen
ihr ist der link zu dem script
http://de.geocities.com/ihop_ablage/firewall.txt
ihr ist der link zu dem script
http://de.geocities.com/ihop_ablage/firewall.txt
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Das Skript sollte es tun... Warum auch nicht?
Patrick
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de