ich lerne eben mit iptables umzugehen und mir eine firewall aufzubauen. allerdings habe ich dazu einige fragen.
1. ich verstehe den theoretischen unterscheid zwischen einem gateway (route) und masq nicht.
2. wie schreibt man die iptables befehle in ein script, so dass man es nach jedem booten automatisch "laden" kann, da diese ja nicht gespeichert bleiben.
3. also ich hab 2 lans zuhause, das ist meine test umgebung. diese habe ich mit einem gateway geroutet. ich kann also alle rechner des einen lans zu den rechnern des anderen lans pingen. nun möchte ich genau auf diesem gateway eine firewall drauf machen, eben zum testen. geht das? ich werde KEINE masq funktionen der iptables benutzen! muss ich dann die input/output kette benutzen, oder die forward, weil ich nicht weiß ob die datagramme dann "durchs system gehen". irgendwo hab ich den begriff "bridge" gehört ...
4. was sind icmp nachrichten bzw. protokoll?
5. wofür stehen die optionen -m und -p?
bitte etwas ausführlichere antowrten, danke
firewall
firewall
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
Hi
1. Also ein Router routet nur die Pakete. Das heisst, dass das Paket unverändert ins nächste Subnetz weiter gesendet wird. Beim masq (Deutsch: Maske) läuft das etwas spezieller ab: man nennt es auch NAT. Ich würde mich da am Besten über Google schlau machen, da es noch recht schwierig zu verstehen ist. (Google Suchresultat: z.B. http://www.zotteljedi.de/unsupported/nat_linux.html oder http://www.nickles.de/c/g/3.htm)
2. Damit die iptables Konfiguration beim Start von debian automatisch geladen wird, kann man die Konfiguration speziell abspeichern. Die Konfiguration, welche am Start geladen werden soll, muss aktiv sein! Anschliessend muss, wenn nötig, die Datei /var/lib/iptables/acitve erstellt werden! Nachher kann die Konfiguration gespeichert werden und einen Softlink zum Script im Ordner /etc/rcS.d/ erstellt werden.
3. sollte eigentlich gehen, habs aber noch nie konkret getestet
4. das Internet Control Message Protocol (ICMP) beinhaltet tools wie ping, tracert, usw.
5. k.A.
Tipp: also ich erstelle nie die iptables Regeln manuell, das ist fast etwas zu komplex. Benutzt doch lieber den FWBuilder, ein tolles Tool zum Erstellen der Rules!
http://www.fwbuilder.org/ und http://packages.debian.org/testing/net/fwbuilder.html (dazu brauchst du noch den iptables Compiler: http://packages.debian.org/testing/net/ ... r-ipt.html )
Hoffe, das hilft dir weiter.
mfg Steve
1. Also ein Router routet nur die Pakete. Das heisst, dass das Paket unverändert ins nächste Subnetz weiter gesendet wird. Beim masq (Deutsch: Maske) läuft das etwas spezieller ab: man nennt es auch NAT. Ich würde mich da am Besten über Google schlau machen, da es noch recht schwierig zu verstehen ist. (Google Suchresultat: z.B. http://www.zotteljedi.de/unsupported/nat_linux.html oder http://www.nickles.de/c/g/3.htm)
2. Damit die iptables Konfiguration beim Start von debian automatisch geladen wird, kann man die Konfiguration speziell abspeichern. Die Konfiguration, welche am Start geladen werden soll, muss aktiv sein! Anschliessend muss, wenn nötig, die Datei /var/lib/iptables/acitve erstellt werden! Nachher kann die Konfiguration gespeichert werden und einen Softlink zum Script im Ordner /etc/rcS.d/ erstellt werden.
Code: Alles auswählen
(nur wenn nötig) vi /var/lib/iptables/active --> :wq
/etc/init.d/iptables save active
ln -s /etc/init.d/iptables /etc/rcS.d/S40iptables4. das Internet Control Message Protocol (ICMP) beinhaltet tools wie ping, tracert, usw.
5. k.A.
Tipp: also ich erstelle nie die iptables Regeln manuell, das ist fast etwas zu komplex. Benutzt doch lieber den FWBuilder, ein tolles Tool zum Erstellen der Rules!
http://www.fwbuilder.org/ und http://packages.debian.org/testing/net/fwbuilder.html (dazu brauchst du noch den iptables Compiler: http://packages.debian.org/testing/net/ ... r-ipt.html )
Hoffe, das hilft dir weiter.
mfg Steve
ok, also ich hab 2 lans zuhause, das ist meine test umgebung. diese habe ich mit einem gateway geroutet. ich kann also alle rechner des einen lans zu den rechnern des anderen lans pingen. nun mach ich da eine firewall drauf. bzw, nur paar regeln zum testen. wenn ich die forward kette P auf drop stelle und sonst nichts dann kann ich weder pingen noch ne connection auf port 22 oder 25 aufbauen (sind die einzigsten beiden die ich zur verfügung hab).
so. alles soweit ok. nun wollte ich mal in der forward kette wieder P auf DROP und dann NUR das ssh protokoll erlauben. damit wollte ich eben mal testen, dass dann auf verbindung 25 und ping nichts passiert, aber ich kann mich auf dem jeweils anderen rechner des anderen netztes einloggen. doch schon daran scheitere ich
ich hab folgendes gemacht:
iptables -F
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
dann kann ich aber auf gar keinem port eine verbindung aufbauen, auch nichts auf port 22. warum? wo ist der fehler in der regel?
so. alles soweit ok. nun wollte ich mal in der forward kette wieder P auf DROP und dann NUR das ssh protokoll erlauben. damit wollte ich eben mal testen, dass dann auf verbindung 25 und ping nichts passiert, aber ich kann mich auf dem jeweils anderen rechner des anderen netztes einloggen. doch schon daran scheitere ich
ich hab folgendes gemacht:
iptables -F
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
dann kann ich aber auf gar keinem port eine verbindung aufbauen, auch nichts auf port 22. warum? wo ist der fehler in der regel?
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
könnte jemand so lieb sein und mir antworten?
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
ja genau, das find ich auchmohameth hat geschrieben:könnte jemand so lieb sein und mir antworten?
Bevor Du einen Beitrag postest:
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
- Kennst Du unsere Verhaltensregeln?
- Hast Du die Suchfunktion benutzt? Deine Frage wurde vielleicht schon in einem anderen Beitrag beantwortet.
- Ist schon ein Artikel in unserem Wiki vorhanden, der Deine Frage beantwortet?
-
Beowulf666
- Beiträge: 1476
- Registriert: 06.10.2002 14:03:08
- Wohnort: Lübeck
-
Kontaktdaten:
