AW: Portforwarding mit IP-Tables.....
Falk Grosswig
falk.grosswig at abu-projekt.de
Tue Mar 16 13:15:46 UTC 2004
Hi,
ich kann Dir ja mal ein bissl helfen so wie ich es bei uns in der Firma
auf Fedora praktiziere. Hier nun ein paar ausschnitte :
#/bin/sh
########################################################
echo ' Linux Firewall on router preparing'
echo '===================================='
echo '####################################'
echo '# #'
echo '# written by Falk Grosswig #'
echo '# 05.11.2003 #'
echo '# hostmaster at detroit.homelinux.net #'
echo '# www.detroit.homelinux.net #'
echo '# #'
echo '####################################'
echo '# #'
echo '# Starting over #'
#--- Forwarding aktivieren ---
echo -n '.'
echo 1 >> /proc/sys/net/ipv4/ip_forward
echo 1 >> /proc/sys/net/ipv4/ip_dynaddr
# Externe IP ermitteln, falls notwendig dann mit $IP arbeiten
# muss arber immer bei Neueinwahl aktualisiert werden
#
#IP=`/sbin/ifconfig ppp0 | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
#--- Netfilter-Module laden ---
echo -n '.'
modprobe ip_tables
echo -n '.'
modprobe iptable_filter
modprobe iptable_nat
echo -n '.'
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo -n '.'
modprobe ip_nat_ftp
modprobe ip_nat_irc
echo -n '.'
modprobe ipt_unclean
modprobe ipt_state
modprobe ipt_tcpmss
echo -n '.'
modprobe ipt_MASQUERADE
modprobe ipt_TCPMSS
modprobe ipt_LOG
#--- alte Regeln löschen ---
#--- alte Regeln löen ---
echo -n '.'
iptables -t filter -F
iptables -t nat -F
#--- Default Policy setzen ---
echo '.'
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo '|Masquerading Aktivieren|'
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
#--- MSS der Pakete ins I-Net an die MTU von DSL (=1492) anpassen ---
echo '|MTU von DSL (=1492) anpassen|'
iptables -A FORWARD -o eth0 -p TCP --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
#---- Massnahmen gegen Angriffsversuche ergreifen
----------------------------->
echo '|Setup Security|'
#-- ungewuenschte/defekte Pakete verwerfen --
# forwarding
iptables -A FORWARD -m unclean -j DROP
# local input
iptables -A INPUT -m unclean -j DROP
#-- Pakete aus I-Net mit privaten (gefaelschten) Absenderadressen
verwerfen --
# prerouting
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 127.0.0.0/8 -j DROP
# forwarding
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 127.0.0.0/8 -j DROP
# local input
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP
#-- ungewuenschte/defekte Pakete verwerfen --
# forwarding
iptables -A FORWARD -m unclean -j DROP
# local input
iptables -A INPUT -m unclean -j DROP
#lokale schnittstellen zulassen
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
# -- HTTPS --
iptables -A INPUT -i eth0 -p TCP --dport 443 -j ACCEPT
#-- SSH --
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
# weiterleitungen
echo '|Enabling eMule|'
#-- eMule-Verbindungen nach 192.168.3.101 leiten --
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 4662 -j DNAT
--to-destination 192.168.3.101
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5662 -j DNAT
--to-destination 192.168.3.101
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 4711 -j DNAT
--to-destination 192.168.3.101
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 4711 -j DNAT
--to-destination 192.168.3.101
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4711 -j DNAT --to
192.168.3.101:4711
iptables -A FORWARD -p tcp --dport 4711 -j ACCEPT
#---- alle uebrigen Verbindungen aus I-Net abweisen
--------------------------->
echo -n '.'
# forwarding
iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j LOG
#
iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j LOG
iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
# local input
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j LOG
#
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j LOG
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
#---- Ende Firewall-Skript
---------------------------------------------------->
echo '.'
echo '# Alle Einstellungen wurden #'
echo '# erflogreich geladen #'
echo '####################################'
-----Ursprüngliche Nachricht-----
Von: fedora-de-list-bounces at redhat.com
[mailto:fedora-de-list-bounces at redhat.com] Im Auftrag von Ronny Fauth
Gesendet: Dienstag, 16. März 2004 13:24
An: Fedora discussions in German
Betreff: Re: Portforwarding mit IP-Tables.....
Michael Weber wrote:
> Na wenn es nix geheimes ist: Gib die IP rüber und ich kann Dir sagen
ob
> es von außen funktioniert. Mir ist damals auch keine Lösung gekommen -
> daher habe ich für den Verkehr von "innen nach innen" einfach squid
> genommen - da es bei uns nur der Webserver war und squid ohnehin alles
> von "innen nach aussen" filtert kein Aufwand. Aber 4711 sieht exotisch
> aus - oder Du versucht gerade ein sicheres WLAN aufzubauen und benutzt
> die Anleitung aus der ix :-)
>
> regards,
> Michael
Ich hab es selber grad testen lassen und es ist wirklich so *brech*
nunja, ich hab aber auch einen Hinweis bekommen was es sein kann, der
Router mag kein Loopback und jenes muß wohl aktiviert werden, auch wenn
ich bis jetzt noch keine Ahnung habe wie das geht..... naja, mal
weiterforschen
thnx schon mal für die Hilfe, denn ich bin echt fast verzeweifelt,
sollte es das Loop Back Problem sein und ich find ne Lösung bekommst du
sie als erster mitgeteilt :)
--
Fedora-de-list mailing list
Fedora-de-list at redhat.com
http://www.redhat.com/mailman/listinfo/fedora-de-list
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 2912 bytes
Desc: not available
URL: <http://listman.redhat.com/archives/fedora-de-list/attachments/20040316/2c46c491/attachment.bin>
More information about the Fedora-de-list
mailing list