FW Script für einen Linux Rechner mit nur eine NW Karte

[Tommson]

Hi Leute

Ich hab mich hier mal durch die verschiedenen Beiträge durchgequält aber ich finde immer nur Scripte oder hinweise für FW Scripte die für Linuxrouter gedacht sind. Ich brauche aber ein FW Script für einen Linux Rechner mit nur einer NW Karte. Offen sollten nur die Ports 22 115 sein und über die dürfen nur bestimmte IP Adressen rein. Hätte da vielleicht wer was für mich?

Tom

[pdreker]

ENOINFO: More Information required to process request...

Ist das ein Router mit nur einer NW Karte, oder geht es um eine Workstation mit DSL Anschluss (kein sonstiges Netz)?

Erklär Deinen Aufbau 'mal genauer, dann kann man Dir helfen...

Patrick

[Tommson]

Es ist kein Router, es handelt sich nur um einen einzelnen Rechner an einem ADSL Anschluss, bzw an einer Standleitung, bzw in verschiedene Netzwerke. Es geht da nicht nur um einen Rechner sondern auch um Linuxrechner von Freunden. Alle mit ADSL oder Standleitung hängen meist hinter einem Router.

[pdreker]

Was denn nu? Ein einzelner Rechner an DSL oder ein Linux Router und ein Netzwerk?

Patrick

[k-pl]

Hier mal ein kleines Bsp, das alle Verbidnungen nach außen über TCP zuläßt.

Code: Alles auswählen

#!/bin/sh

#-----------------------------------------------
# config
#-----------------------------------------------

IF_INT=eth0
IF_LO=lo

#-----------------------------------------------
# stopFirewall
#-----------------------------------------------

function stopFirewall() {

  # enable all package, but do not forward
  iptables -P INPUT ACCEPT
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  rmmod ip_conntrack_ftp
  rmmod ipt_LOG
}

#-----------------------------------------------
# startFirewall
#-----------------------------------------------

function startFirewall() {
modprobe ip_conntrack_ftp
modprobe ipt_LOG

  iptables -F
  iptables -X

  # drop everything
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP


  # allow everything from IF_LO
  iptables -A INPUT -i $IF_LO -j ACCEPT
  iptables -A OUTPUT -o $IF_LO -j ACCEPT

  # allow all related from IF_INT
  iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

  # allow all outgoing TCP connections to IF_INT
  iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT

  # logg all other destoryed packages
  iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
  iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn

}


###############################################################################
## Start-Stop-Script                                                         ##
###############################################################################

case "$1" in
start)
echo -n "Starting firewall: iptables"
startFirewall
echo "."
;;

stop)
echo -n "Stopping firewall: iptables"
stopFirewall
echo "."
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac