Iptables zugriff nur auf einen bestimmten port von einem bestimmten neterkkarte
Hallo Leute,
ich bin noch nicht so fit in iptables und möchte eine openvpn Verbindung so einschränken das die User nur auf den Port 80 kommen über die Verbindung.
Alle anderen sollen keine Einschränkungen habe.
Mein Ansatz ist:
hoffe ihr könnt mir helfen.
gruß michael
ich bin noch nicht so fit in iptables und möchte eine openvpn Verbindung so einschränken das die User nur auf den Port 80 kommen über die Verbindung.
Alle anderen sollen keine Einschränkungen habe.
Mein Ansatz ist:
iptables -A firewall -o tap1 -d ! 192.168.201.1 -j DROP
iptables -A firewall -o tap1 -p tcp --dport ! 80 -j DROP
oder
iptables -A firewall -o tap1 -d ! 192.168.201.1 -p tcp --dport ! 80 -j DROP
iptables -A firewall -o tap1 -p icmp -j ACCEPT
oder
iptables -A firewall -p icmp -j ACCEPT
gruß michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168103
Url: https://administrator.de/forum/iptables-zugriff-nur-auf-einen-bestimmten-port-von-einem-bestimmten-neterkkarte-168103.html
Ausgedruckt am: 24.12.2024 um 14:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Versuchs mal so
Und für die ICMP Funktion Ping die du warscheinlich mit dem zweiten Fenster meinst würde das in etwas so aussehen
Gruß
Hitman
Versuchs mal so
####################################
##
## Allgemeine Definitionen
##
####################################
IPTABLES="/sbin/iptables" #Pfad zu den Iptables
ECHO="/bin/echo" #echo
TAP="eth0" #Standard Netzwerkkart
DEFAULT="tap" #OpenVPN Netzwerkkarte
HTTP="80" #HTTP Port
####################################
##
## Aktiviere Forwarding
##
####################################
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
####################################
##
## Leere die Ketten
##
####################################
$IPTABLES -F
####################################
##
## Sperre Forwarding
##
####################################
$IPTABLES -P FORWARD DROP
####################################
##
## Regeln
##
####################################
#Erlaube Antworten auf bereits angenommene Verbindungen
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Erlaube neue Verbindungen auf Port 80
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p tcp --dport $HTTP -m state --state NEW -j ACCEPT
Und für die ICMP Funktion Ping die du warscheinlich mit dem zweiten Fenster meinst würde das in etwas so aussehen
$IPTABLES -A FORWARD -i $DEFAULT -o $TAP -p icmp --icmp-type ping -m state --state NEW -j ACCEPT
Gruß
Hitman
Zitat von @micneu:
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach
alles
@hitmann, ja fasssst alles was über das device "tap1" kommt darf nur auf den webserver, der rest darf einfach
alles
#Nehme Verbindungen von Port 80 an und Erlaube Ping
$IPTABLES -A FORWARD -i $TAP1 -p tcp --dport $HTTP -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i $TAP1 -p icmp --icmp-type ping -m state --state NEW -j ACCEPT
#Lehne alle Anfragen ab die oben nicht explizit genehmigt worden sind
$IPTABLES -A FORWARD -i $TAP1 -p tcp -j DROP
$IPTABLES -A FORWARD -i $TAP1 -p udp -j DROP
$IPTABLES -A FORWARD -i $TAP1 -p icmp -j DROP
ist denn meine regel die ich gemacht hatte wirklich kom´plett falsch?
Naja ich kann ohne die Definitionen nicht wirklich was anfangen also hab ich es gleich neu versucht ;)du nutz "-o" ich denke das brauche ich nicht oder ist das wichtig?
Das -o sagt über welche schnittstelle etwas rausgeht aber du willst alles was VON (also -i) tap1 kommt sperrengruß Hitman