dank eurer hilfe, habe ich mir mal iptables angeschaut und mir meine eigenen regeln zusammengebastelt. Für mich ist iptables völliges neuland, daher bitte net über meine script lachen.....soweit funktioniert es ja auch ganz gut =).
zum meinem problem:
ich möchte dem server erlauben, dass er andere server pingen kann und zwar nicht nur über ip sondern mit namensauflösung. leider macht/kann er das im moment noch nicht.
mein script:
Code: Alles auswählen
#! /bin/sh
modprobe ip_conntrack_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i localhost -j ACCEPT
iptables -A OUTPUT -o localhost -j ACCEPT
iptables -A FORWARD -s localhost -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH und Webserver Ports erlauben (von außen)
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
#FTP-Port erlauben (von außen)
iptables -A INPUT -p tcp --dport 21 -m state --state NEW --syn -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p tcp --dport 21 --syn -j DROP
#Mail Ports : Pop3 und SMTP erlauben (von außen)
iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
#Pings erlauben (limitiert)
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
wäre echt klassen ,wenn mir da jemand helfen könnte.
LG
Patrick
