Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall mit IPTables

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

17.11.2007, aktualisiert 18.11.2007, 6890 Aufrufe, 2 Kommentare

Hallo,

ich habe ein Problem mit meiner Firewall. Der Server hat 2 Netzwerkkarten und ist auf der einen Seite direkt an das DSL Modem angeschlossen und an der anderen Seite an ein Switch fürs LAN. Ich möchte nun das ich aus dem LAN auf einen POP3 Server im Internet zugreifen kann.

Das geht ja normalerweise mit iptables -A FORWARD. Das klappt aber in meinem Fall leider nicht und ich finde einfach den Fehler nicht. Ich weiss auch leider nicht wo ich den Fehler suchen soll. Liegt das Problem eventuell in dem Netzwerkaufbau - 2 x /8ter Netz?

Details:

eth0 (10.0.0.1o/8) -> LAN
eth1 (10.0.0.9/8) -> Zum DSL Modem (=10.0.0.1)

Routenkonfiguration mittels route:

01.
#routes.sh:
02.
#***********
03.
 
04.
route add -host 10.0.0.1 dev eth1
05.
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0
06.
route add default gw 10.0.0.1
Firewallscript:

01.
#firewall.sh:
02.
#************
03.
 
04.
#!/bin/bash
05.
 
06.
modprobe ip_tables
07.
modprobe ip_conntrack
08.
modprobe ip_conntrack_irc
09.
modprobe ip_conntrack_ftp
10.
 
11.
iptables -F
12.
 
13.
iptables -P INPUT DROP
14.
iptables -P OUTPUT DROP
15.
iptables -P FORWARD DROP
16.
 
17.
iptables -A INPUT -i lo -j ACCEPT
18.
iptables -A OUTPUT -o lo -j ACCEPT
19.
 
20.
#Connection-Tracking aktivieren
21.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
22.
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
23.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
24.
 
25.
#PORT 995 (POP3 - SSL) 
26.
iptables -A FORWARD -m state --state NEW -p tcp --dport 995 -j ACCEPT
27.
iptables -A FORWARD -m state --state NEW -p udp --dport 995 -j ACCEPT
28.
 
29.
# ICMP Echo-Request (ping) zulassen und beantworten
30.
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT
31.
 
32.
# Forwarding/Routing
33.
echo "Aktiviere IP-Routing"
34.
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
35.
 
36.
# SYN-Cookies
37.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
38.
 
39.
# Stop Source-Routing
40.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done
41.
 
42.
# Stop Redirecting
43.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done
44.
 
45.
# Reverse-Path-Filter
46.
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done
47.
 
48.
# BOOTP-Relaying ausschalten
49.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done
50.
 
51.
# Proxy-ARP ausschalten
52.
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done
53.
 
54.
# Ungltige ICMP-Antworten ignorieren
55.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
56.
 
57.
# ICMP Echo-Broadcasts ignorieren
58.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
59.
 
60.
# Max. 500/Sekunde (5/Jiffie) senden
61.
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
62.
 
63.
# Speicherallozierung und -timing für IP-De/-Fragmentierung
64.
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
65.
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
66.
echo 30 > /proc/sys/net/ipv4/ipfrag_time
67.
 
68.
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
69.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
70.
 
71.
# Maximal 3 Antworten auf ein TCP-SYN
72.
echo 3 > /proc/sys/net/ipv4/tcp_retries1

Der Übersichtlichkeitshalber habe ich jetzt die Standardregeln weggelassen. Die Ausgabe von Route und iptables -L zeigt an:

01.
#route
02.
Kernel IP routing table
03.
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
04.
10.0.0.1        *               255.255.255.255 UH    0      0        0 eth1
05.
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0
06.
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth1
01.
# iptables -L
02.
Chain INPUT (policy DROP)
03.
target     prot opt source               destination         
04.
ACCEPT     0    --  anywhere             anywhere            
05.
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
06.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:webcache 
07.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https 
08.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:10022 
09.
ACCEPT     icmp --  anywhere             anywhere            state NEW icmp echo-request 
10.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain 
11.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:domain 
12.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ipp 
13.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:ipp 
14.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver 
15.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42 
16.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ns 
17.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-dgm 
18.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:netbios-ssn 
19.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:microsoft-ds 
20.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ns 
21.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-dgm 
22.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:netbios-ssn 
23.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:microsoft-ds 
24.
 
25.
Chain FORWARD (policy DROP)
26.
target     prot opt source               destination         
27.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
28.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3s 
29.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:pop3s 
30.
 
31.
Chain OUTPUT (policy DROP)
32.
target     prot opt source               destination         
33.
ACCEPT     0    --  anywhere             anywhere            
34.
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
35.
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nameserver 
36.
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:42                   
Vielen Dank
Steve
Mitglied: Guenni
17.11.2007 um 16:23 Uhr
@Cubic83

Hi,


deine NW-Karten müssen in unterschiedlichen Netzen sein, z.b:

eth0: 10.0.0.10/16 --> LAN
eth1: 10.1.0.9/16 --> DSL, wobei das DSL-Modem im gleichen Netz ist,
wie diese NW-Karte.

Die NW-Karte eth1 bekommt als Gatewayadresse die IP des Modems,
die NW-Karte eth0 bekommt kein Gateway.

Routen müssen keine gesetzt werden, da durch die zwei Karten dem
Kernel die Routen bekannt sind.

Desweiteren muß NAT für die NW-Karte zum DSL aktiviert werden, da
sonst keine Adressübersetzung statt findet:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Gruß
Günni
Bitte warten ..
Mitglied: Cubic83
18.11.2007 um 09:43 Uhr
Hallo,

ich habe das jetzt ausprobiert und das hat auf Anhieb funktionniert. 2 getrennte Netze hätte ich so schnell nicht ausprobiert.

Vielen Dank!

mfG
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Firewall Austausch
gelöst Frage von UnbekannterNR1Netzwerke7 Kommentare

Hallo zusammen, ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan ...

Router & Routing
Empfehlung Firewall
gelöst Frage von Odde23Router & Routing7 Kommentare

Hallo zusammen, ich benötige für ein kleines Unternehmen (5 Mitarbeiter) eine Firewall und weiß nicht so recht, was ich ...

Firewall
Iptables Firewall
Frage von 134311Firewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Firewall
Welche Firewall ?
Frage von CyberurmelFirewall18 Kommentare

Hi @ all, bräuchte mal wieder Euren fachmännischen Rat / Tipp. Es soll eine neue Firewall mit 10G Interface ...

Neue Wissensbeiträge
Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 2 TagenOff Topic

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 2 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Sicherheit

MikroTik: Sicherheitslücke wird ausgenutzt obwohl ein Update seit langem verfügbar ist

Information von sabines vor 2 TagenSicherheit

Obwohl ein Update, dass die nun massenhaft ausgenutzte Lücke schließt, seit langem (März 2018) verfügbar ist, wird es offensichtlich ...

Informationsdienste
Gut getarnter Trojaner unterwegs (Emotet)
Information von nepixl vor 4 TagenInformationsdienste3 Kommentare

Hallo, quick & dirty: ein neuer Cryptotrojaner sorgt wieder für Millionenschäden. BSI Artikel Heise Artikel Der Trojaner kommt in ...

Heiß diskutierte Inhalte
Rechtliche Fragen
Systemhaus auf Abwegen
Frage von rocco61Rechtliche Fragen12 Kommentare

Hallo zusammen, bin derzeit ratlos bei dem folgenden Scenario: In einen Seniorenheim wurde beschlossen, die IT an eine andere ...

Router & Routing
MikroTik - Routing, Bridging, Switching
gelöst Frage von Alex29Router & Routing9 Kommentare

Hallo in die Runde, als Hobby-Admin würde ich bitte mal wieder Eure Hilfe benötigen. Seit der Umstellung auf RouterOS ...

Windows Server
HP Proliant DL 380G7 ILO2 Problem und DL 580G6 OS Prolem
gelöst Frage von Home-NeulingWindows Server6 Kommentare

Hallo, ich bin neu hier, und hoffe das ich hier jetzt auch richtig Poste. Ich habe mir zuhause ein ...

Exchange Server
Exchange Server 2010: Keine Eingehenden E-MAils
Frage von gabeBUExchange Server6 Kommentare

Hallo Zusammen Ich habe das kurzen auf dem Exchange 2010 Server das Problem, dass ich keine externen E-Mails mehr ...