IPTABLES für SERVER4FREE DEBIAN

Darkantares · Beitrag von **Darkantares** » 22.07.2005 22:53:55

Hallo,

leider ist auf Server4free nur Packetfiltering möglich, ich möchte mir eine gute Firewall zusammenbauen. Das unten Aufgeführte habe ich von einem Suse Script übernommen. Leider funktioniert nicht alles so wie es soll.
Ich kann z.B. keine Connections von innen nach aussen machen. Könnte mir bitte jemand helfen?

----Dieses script ist getestet und funktioniert auf einem Debian Vserver von Server4free.---

http://nopaste.debianforum.de/653

EDIT: Script nach nopaste verschoben - blackm

gms · Beitrag von **gms** » 22.07.2005 23:31:06

willkommen im forum!

Hast du den wichtigen Hinweis "Bevor du einen Beitrag postest gelesen ? Im Speziellen:

Code: Alles auswählen

- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Nun zu deinem Problem:

Erstmal bemerke ich nichts von einer automatischen IP Erkennung bzw von einem angegebenen Netzwerk-Interface

Weiters vermute ich, daß du INPUT und OUTPUT verwechselt hast, insbesondere bei DNS

dein ping funktioniert so auch nur bei incomming:

Code: Alles auswählen

# incomming 
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT 
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# outgoing
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Eine halbwegs RFC konforme Firewall sollte 4,8,12,13,15,17 ausgehend und 0,3,4,11,12,14,16,18 eingehend durchlassen

Hier die entsprechenden Namen:

Code: Alles auswählen

#  0: echo reply (pong)
#  3: destination-unreachable (port-unreachable, fragmentation-needed etc).
#  4: source quench
#  5: redirect
#  8: echo request (ping)
#  9: router advertisement
# 10: router solicitation
# 11: time-exceeded
# 12: parameter-problem
# 13: timestamp request
# 14: timestamp reply
# 15: information request
# 16: information reply
# 17: address mask request
# 18: address mask reply

und deine Aussage, dieses Script von SuSe übernommen zu haben, könnte dir eine Klage wegen übler Nachrede einbringen

Gruß
gms

Darkantares · Beitrag von **Darkantares** » 22.07.2005 23:34:50

Ich habe das Script nicht direkt von SUSE übernommen, sondern von jemanden der es für SUSE gemacht hat.

http://www.serversupportforum.de/forum/ ... -1352.html
hier das script für SERVER4FREE Suse

Dieses wollte ich abändern auf Debian, leider komme ich hier nicht weiter.

Ich hab vergessene in paar Zeilen umzuschreiben. (Wegen Automatischer IP erkennung.)

gms · Beitrag von **gms** » 22.07.2005 23:39:15

original:

Code: Alles auswählen

# DNS
$IPT -A OUTPUT -s $EXT_IP -p udp --destination-port 53 -j ACCEPT
$IPT -A INPUT -d $EXT_IP -p udp --source-port 53 -j ACCEPT

deine Version:

Code: Alles auswählen

# DNS 
iptables -A INPUT -p udp --dport 53 -j ACCEPT 
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT

warum hast du INPUT mit OUTPUT vertauscht ?

Darkantares · Beitrag von **Darkantares** » 22.07.2005 23:40:42

Werde die schlamperei schleunigst ändern, danke = ) Weil das ganze Script überarbeitet werden musste, hab das wohl im zuge der testerei vergessen wieder zurückzuändern.

edit:

Hab gerade bemerkt das ich noch mehr vertauscht habe: so ists jetzt aber richtig. siehe oben:

gms: "Eine halbwegs RFC konforme Firewall sollte 4,8,12,13,15,17 ausgehend und 0,3,4,11,12,14,16,18 eingehend durchlassen"

könntest Du mir Tipps geben wie ich das mit dem obigen script bewerkstellige oder einen Link zu einem Howto.

Kann mir jemand Tipps geben wie ich das script noch verbessern kann?

knecht · Beitrag von **knecht** » 23.07.2005 14:04:24

wenn du IPTABLES etwas lernen willst kann ich dir hier den Link zu einem Step by Step Firewall HowTo geben, das ich mal geschrieben habe.
http://www.neoberserker.de/phpBB2/viewt ... highlight=

gruss
Sebastian