Router mit iptables statt ipmasq

[moppel]

Hallo Debianfreunde,

ich habe mir einen Debian-Router mit ipmasq und dnsmasq aufgesetzt, der bis jetzt ohne Probleme läuft.

Was mich allerdings jetzt stört, dass ipmasq für mich eine Blackbox-Maschine ist.
Ich möchte beispielsweise nicht, dass "ping meine-ip" eine Antwort liefert. Angreifer sollen aus meiner Sicht gar nicht wissen, ob der PC an oder aus ist.
Die Ergänzung von ipmasq um die simple Firewall-Regel http://wiki.debianforum.de/BasicFirewall hat bei mir schon mal nicht funktioniert.

Daher möchte ich jetzt einen einfachen Router mit iptables aufsetzen und die Details verstehen.

Zum Einstieg gut geeignet erscheint mir das Script http://wiki.debianforum.de/In2minDebian ... bianmanier.

Nur leider können die Browser meiner Client-Rechner damit keine Webseiten mehr laden. Im ersten Schritt habe ich lediglich die optionale Port 80 Umleitung auf Squid deaktiviert. Die Namensauflösung auf den Client-Rechnern in der Konsole mit "host irgendeinedomain.de" funktioniert noch.

Jetzt weiß ich nicht, wo ich den Fehler suchen soll?

Danke schon mal!

Freundlich grüßt
moppel

[ip]

hi,

schau dir mal das paket arno-iptables-firewall an.

damit erzeugst du einfach und schlicht einen kleinen firewall mit den üblichen extras....
... und kannst die erzeugten regeln erst mal als vorlage für einen eigenen firewall hernehmen!

mfg
-ip-

[moppel]

Mit der Erstellung einer eigenen Firewall wollte ich eigentlich nicht beginnen. Es erscheint mir eine Zacke fehleranfälliger als einen einfachen lauffähigen Router mit ipables zunächst mal zu testen und dann an eigene Bedürfnisse anzupassen.

Kopfzerbrechen bereitet mir schon jetzt, dass der einfache Wiki-Router mit Firewall bei mir nicht wunschgemäß funktioniert. Das sind doch nur wenige Scriptzeilen und ich kann gar nicht erkennen, wo sich dort ein Fehler verstecken soll.

Danke trotzdem für den Tipp mit arno-iptables-firewall. Schaue ich mir auf jeden Fall an.

[DynaBlaster]

Nabend,

ich habe vor einiger Zeit mal ein minimales, aber relativ gut dokumentiertes Script gepostet, dass auf deine Bedürfnisse passen könnte. Das Script findest du hier:
http://debianforum.de/forum/viewtopic.p ... r&start=30

[Duff]

Würde auch den Ansatz von DynaBlaster verfolgen.

Vielleicht noch ein paar Logging-Informationen mit einbauen und du kannst im Logfile immer erkennen, wenn was geblockt wird.

Code: Alles auswählen

$IPTABLES -A INPUT -i $<interface> -j LOG --log-prefix "INPUT($<interface>): "
$IPTABLES -A OUTPUT -o $<interface> -j LOG --log-prefix "INPUT($<interface>): "

[moppel]

ich habe vor einiger Zeit mal ein minimales, aber relativ gut dokumentiertes Script gepostet, dass auf deine Bedürfnisse passen könnte. Das Script findest du hier:
http://debianforum.de/forum/viewtopic.p ... r&start=30

Vielen Dank! Genau so etwas habe ich gesucht.

Die Clients bekommen zwar damit keine Internetverbindung mehr, aber das bekomme ich bestimmt bald in den Griff. Wie ich soeben herausgefunden habe, scheitert bereits die Anforderung der dynamischen IP-Adresse. Auf dem Router läuft dnsmasq und die noch zu öffnenden Ports im Lan sollte ich leicht mit dem von Duff gelieferten Logging-Code herausfinden.

[Duff]

Genau. Du schaffst das schon.

Und wenn nicht, einfach nochmal melden