Router/Firewall (iptables) schließt ports nicht?

[apulix]

Hallo, ich habe nach dem Beispiel aus dem Wiki mir einen Router mit Firewall gemacht, hat auch super geklappt, aber nun habe ich Probleme mit dem Absichern. Ich habe zunächst POLICY auf DROP gesetzt und dann versucht den Zugriff aus dem eigenen Netz für alles zu erlauben, aber nun kann man auch aus dem Internet z.B. meine Samba-Shares mounten, hier mein gekürztes und dokumentiertes Skript:

Code: Alles auswählen

EXTDEV=ppp0
INTDEV=eth1
INTLAN=192.168.5.0/24
IPTABLES=`which iptables`
IPDEST="192.168.5.50"

## Enable Paketforwarding and set dynamic IP
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -F
$IPTABLES -X

$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -P OUTPUT DROP

# Masquerading
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o $EXTDEV -s $INTLAN -j MASQUERADE

# Allow all on localhost
$IPTABLES -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

# Offene Verbindungen durchlassen
$IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Erlaube  Ping auf den Server
$IPTABLES -t filter -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -t filter -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Erlaube Zugriff aus dem eigenen Netz auf alles
$IPTABLES -t filter -A INPUT -i $INTDEV -j ACCEPT
$IPTABLES -t filter -A OUTPUT -o $INTDEV -j ACCEPT

# REJECT fuer Zugriffe von Aussen auf den Server auf alles
$IPTABLES -t filter -A INPUT -p tcp --dport 0:65535 -i $EXTDEV -j REJECT

##### Forwarding fuer alles #####
$IPTABLES -t filter -A FORWARD -j ACCEPT

Würde mich freuen, wenn mir jmd. helfen könnte, für Tipps anderer Art wäre ich aber auch dankbar, beschäftige mich erst seit wenigen Tagen mit dem Thema.

[apulix]

Habe eben durch Ausprobieren herausgefunden, dass die Befehle unter "# Erlaube Zugriff aus dem eigenen Netz auf alles" dazu führen, dass man auch aus dem Internet darauf zugreifen kann, aber ich verstehe nicht wieso, wenn die Pakete auf dem Internet gehen doch über das ppp0-Device rein und müsste durch alle Regeln durchfallen und dann dem Default-Policy zum Opfer fallen und geDROPt werden...

Lösung, die ich habe, die mir aber nicht gefällt, weil es auch ohne gehen müsste: Ich definiere in den Befehlen jeweils "--destination $IPSERVER"...

Aber kann mir vll. jmd. sagen, wieso das so ist?