iptables

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
Richard-18
Beiträge: 150
Registriert: 24.10.2005 02:15:16
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Gotha
Kontaktdaten:

iptables

Beitrag von Richard-18 » 24.03.2006 12:19:51

hallo erst mal,

Ich bin gerade dabei ein iptables skript zu schreiben und komme gerade nicht weiter weil ich 2 ich hoffe klein probleme habe, und zwar will ich mit ssh arbeiten aber nur nach aussen.

iptables -A INPUT -p ssh ??? --sport 22 --dport 1024: -j ACCEPT
iptables -A OUTPUT -p ssh ??? --sport 1024: --dport 20 -j ACCEPT

Und mein zweites problehm ist das ich mit nmap scannen möchte aber wie soll die regel dazu aussehen

MFG Richard-18
Software is like sex. It's better when it's free.
Linus Torvald
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Beitrag von nepos » 24.03.2006 13:01:11

Ok, du willst mit SSH nach draussen kommen:

Code: Alles auswählen

# Hier lassen wir mal ausgehende Verbindungen  und Pakete zu bestehenden Verbindungen auf Zielport 22 zu
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -o <externes Interface> -j ACCEPT
# Hier kommt die Regel, die Pakete, die zu einer bekannten Verbindung gehoeren wieder reinlaesst
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
So hab ich das bei mir zu Hause laufen. Falls du den Debian-Rechner als Router nutzt, musst du auch noch die folgenden Regeln einbauen:

Code: Alles auswählen

# Ueber diesen Rechner geroutete Pakete fuer SSH durchlassen
iptables -A FORWARD -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -o <externes Interface> -j ACCEPT
# Und die Regel fuer bestehende Verbindungen
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Wenn du mit nmap scannen willst, dann hast du eigentlich ein Problem. Der scant alle moeglichen Ports von allen moeglichen Quellports aus. Das heisst, du muesstest die alle durchlassen. Dabei wuerdest du aber mehr aufmachen, als du eigentlich willst. nmap kennt einen Schalter, mit dem du den Quellport festlegen kannst: -g <Portnummer>.
Da koenntest du den ausgehenden Port aufmachen. Z.B. kannst als Quellport 1024 nehmen:

Code: Alles auswählen

iptables -A OUTPUT -p tcp --sport 1024 -m state --state NEW,ESTABLISHED,RELATED -o <externes Interface> -j ACCEPT
Die obige Regel, die bestehende Pakete fuer SSH akzeptiert wuerde dann auch diese Pakete durchlassen.

Das ganze mal ungetestet und ohne Gewaehr :)
Nach oben
Benutzeravatar
Richard-18
Beiträge: 150
Registriert: 24.10.2005 02:15:16
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Gotha
Kontaktdaten:

mhhh

Beitrag von Richard-18 » 24.03.2006 13:38:22

ok soweit und dickes danke aber eine frage habe ich noch wenn ich diese regel für bestehende verbindungen verwende kann ich doch immer meine input regel weglassen oder ??
Software is like sex. It's better when it's free.
Linus Torvald
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Beitrag von nepos » 24.03.2006 13:47:14

Wenn du nur neue Verbindungen nach draussen aufmachst und niemand von aussen bei dir connecten koennen soll, ja.
Nach oben
Antworten

Zurück zu „Netzwerk“