Schon wieder Port Forwarding mit IPTABLES (Linux)

Marcus_Scholz_f35377 · 4. September 2003 um 18:43

Bislang wurde unser Heimnetzwerk von einem Windows XP Computer mit MS Internet Connection Sharing ins Internet geroutet. Nun wollte ich den bislang hinter den NAT liegenden Webserver (SuSE Linux 8.2, Kernel 2.4.xx) auch als Router konfigurieren, damit nicht 2 Rechner ständig laufen müssen, sondern eben nur noch der Linux Rechner um Internetzugang für das LAN zu geähren und meine Website online zu stellen.

So weit so gut. Der Linux Router läuft und funktioniert wunderbar und jeder hat Internet. Nun zu meinem Problem: Port Forwarding! Ich will auch hinter den Router Server laufen lassen wie zum Beispiel einen e-Mule Client und später diverse GameServer.

Erstmal zu der LAN Umgebung:
Als kleines Windows Kind habe ich auch dem Linux Router die Adresse 192.168.0.1 gegeben, die Clients haben 0.2, 0.3 usw.
Als Internetzugang dient ein DSL Dial-up mit dynamischer IP Vergabe.
Ich habe mich schon durch Bücherweise Dokumentation zu IPTABLES durchgelesen und habe ein ungefähres Bild davon, wie das zu funktionieren hat, in der Praxis funktioniert es aber schlicht nicht
im Beispiel von eMule will ich die folgenden Ports nach 192.168.0.3 weiterleiten. Das wären im Detail:
4661 TCP
4662 TCP und
4665 UDP

In den gängigen Dokumentationen auf netfilter.org findet sich immer dieses oder ein ähnliches Beispiel:
iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 \
-j DNAT --to 192.168.1.1:80
welches den Port 8080 von der IP 1.2.3.4 auf 192.168.1.1:80 weiterleitet.

Ich könnte mir vorstellen, dass es mit der Angabe der Quell IP nicht funktioniert, weil sie ja dynamisch vergeben wird oder soll ich die lokale LAN IP des Routers angeben?

Ich habe mir jetzt folgende Konfiguration zusammengestellt, von der ich dachte, dass es funktionieren könnte:
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4661 -j DNAT --to 192.168.0.3:4661
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j DNAT --to 192.168.0.3:4662
iptables -A PREROUTING -t nat -i ppp0 -p udp --dport 4665 -j DNAT --to 192.168.0.3:4665

Und zwar geht mein Ansatz dahin alle von ppp0 (DSL Anschluss) einkommenden Pakete auf 4661, 4661 TCP und 4665 UDP auf 192.168.0.3 mit dem jeweiligen identischen Port weiterzuleiten… so wie es unter XP mit dem ICS port forwarding auch funktioniert hat.
In der Praxis sieht es aber so aus ich trotzdem eine LowID zugewiesen bekomme und der eDonkey2000 Connection Test unter:
http://www.thedonkeynetwork.com/connection_test
gibt mir auch nur einen Timeout aus, was bedeutet, dass nix weitergeleitet wird.

Habe ich mit ppp0 das falsche Interface ausgewählt oder sollte ich die LAN IP des Routers angeben oder wie stelle ich das am geschicktesten an? (btw: DSL Modem hängt an eth1, LAN ist mit eth0 verbunden)
Die zur Distribution gehörende SuSEfirewall2 habe ich auch eingeschaltet und konfiguriert und auch dort angegeben, die Ports für Webserver und emule (die 3 oben genannten) durchzulassen und nicht gleich zu blocken. Im Falle des Webservers AUF dem Router klappt das wunderbar, so dass der Fehler nicht bei der Firewall, sondern bei der IPTABLES Konfiguration zu suchen ist (glaube ich zumindest)

Die 2. lokale Firewall auf 192.168.0.3 ist auch auf Durchlass für die eMule ports eingestellt, da es vorher funktioniert hat und bei lokaler ISDN Einwahl auch immer noch funzt.
Ich habe jetzt seit gestern Abend 23:00 bis jetzt durchgemacht und bin langsam der Verzweiflung nahe.
Wäre nett, wenn ein Linux PRO hier was von seinem Wissen einfließen lassen könnte. Ist mit sicherheit nur ein doofer Denkfehler von mir, aber ich sehe ihn nicht (mehr).

Vielen Dank schon mal im Voraus!
mfG
Marcus Scholz

Cogito_Ergo_Sum · 4. September 2003 um 19:14

Hallo Marcus,

Ich weiss nun nicht ob deine iptables Kommondos zur Illustration waren, jedenfalls ist meines Wissens die „Zieltablle“ immer als erster Parameter anzführen (sofern es sich nicht um die Default filter Tablle handelt die man auch weglassen kann).

iptables -t nat -A PREROUTING

iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4661 -j
DNAT --to 192.168.0.3:4661
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j
DNAT --to 192.168.0.3:4662
iptables -A PREROUTING -t nat -i ppp0 -p udp --dport 4665 -j
DNAT --to 192.168.0.3:4665

Ansonsten würde ich das mal mit Ausnahme dieses (-t nat) so stehen lassen da ich die Syntax für DNAt nicht auswendig kenne.

Noch ein absolut wichtiger Punkt. Meines Wissens ist der Port 4655 falsch!!

Emule läuft auf UDP auf 4672 !!.

Ansosten bin ich auch gerade am testen und werd wohl nochmals was posten.

grüße Thomas

Malte_4b1c84 · 4. September 2003 um 18:58

Erstmal ohne Firewalling machen!
Hi,

ich hab keine Ahnung, wie das unter Linux läuft, aber FreeBSD macht das so, daß für Firewalling und NAT zwei unterschiedliche Programme zuständig sind.

Die Reihenfolge sieht dort also so aus:

Auf dem Gateway den Internetzugang hinbekommen
Routing und NAT ermöglichen
Erst jetzt Firewalling machen.

Vor Punkt 3 lässt die Firewall ALLES durch!
So kannst Du viel besser Troubleshooting machen und den Fehler suchen. Also schalte erstmal alle Firewalls aus und versuch, den Internetzugang inkl. NAT hinzubekommen. Wenn der funktioniert, kannst Du einschränken.

Nochwas: Sind SuSE Firewall2 und iptables dasselbe? Wenn nein: Du brauchst nur _eine_ Firewall. Zwei sind maximal überflüssig und machen nur Ärger.

Vielleicht hilft’s ja,

Malte.

Cogito_Ergo_Sum · 4. September 2003 um 19:19

Nochmals ein kleiner ad-hoc Nachtrag

Schalte unbedingt mal nur testweise die Susefirewall aus! Denn diese ist für nicht Suse-Linux Programmierer nur bedingt transparent und war bei mir für eineige „Fehler“ verantwortlich, weil die letztendlich doch irgendwie mit der eignen Firewall in Konflikt geraten ist! Tu das wirklcih als ersten Schritt bevor du dich ans Debuggen machst. Ansoten kann ich dir noch den Sniffer Ethereal empfehlen. Der läuft bei mir sowohl auf meinem WinXP rechner als auch auf meinem Linux Server damit sieht du dann wo die PAkete hängenbleiben und was nicht läuft! DAmit konnte ich (wenn auch sehr zeitraubend) bis jetzt jeden Fehler aufdecken…

http://www.ethereal.com/

Marcus_Scholz_f35377 · 4. September 2003 um 19:22

Boah, krass, wie schnell Ihr antwortet, das ist ja absolut genial dieses Forum und vor allem die Leute darin *gg*
Also das mit dem -t nat kann ich ja einfach mal ausprobieren, des ist ja nicht das Ding, aber jetzt hängt einer wieder direkt am DSL Modem, weil irgendwie alle nur Internet schreien und ich hier nahe der Verzweiflung bin und so nicht arbeiten kann, wenn immer wieder jemand den Stecker aus dem Router zieht (und ich es erstmal nicht mitbekomme, weil der Server unten steht und ich ihn via SSH von oben fernadministriere) *argl*
Ob 4665 der Standardport ist weiss ich nicht, habe bei der WinXP (Router Konfiguration) schon damals viel rumprobiert, aber der Client ist auf jeden Fall auf 4665 eingestellt und es hat auch vorher mit diesen Werten funktioniert.

Danke für den Tipp, melde mich wieder wenn ichs ausprobiert habe, obs funktioniert hat oder nicht

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Marcus_Scholz_f35377 · 4. September 2003 um 19:27

Ok, dann werde ich die Firewall erstmal deaktivieren und das NAT hinbiegen.
So weit ich weiss ist die SuSEfirewall2 nur ein Frontend für IPTABLES, welches die Regeln in IPTABLES einträgt.

Aber ich werd das Ding erstmal deaktivieren und NAT zum Laufen bekommen und erst danach weiter mit der Firewall rumhantieren.

Aber hat jemand zu meiner IPTABLES Konfiguration einen heissen Tipp?
Ist -i ppp0 die richtige Quelladresse der Pakete oder lieber eth1 (hier ist das pppoE Modem dran) oder eth0 (hier ist das LAN dran) verwenden oder gar die LAN IP des Routers?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Marcus_Scholz_f35377 · 4. September 2003 um 19:31

Das mit Ethereal ist ansich ne gute wenn auch arbeitsintensive Möglichkeit, aber da ich ja eh schon seit 18 Stunden non-stop daran hänge ist mir auch das nicht mehr zu kompliziert.
Aber dachte ich bisher, es würde nix bringen, da die Firewall ja schon vor Etherreal aussortiert, aber die werde ich auf mehrfachen Rat sowieso erstmal deaktivieren, dann sollte ich auch mit Ethereal alles angezeigt werden.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Anonym · 4. September 2003 um 19:43

Hi,

setze Deinen Beitrag bitte unter das Zitat. Du erhoehst damit die Lesbarkeit ungemein. Danke.

Ok, dann werde ich die Firewall erstmal deaktivieren und das
NAT hinbiegen.

Ich denke mal, dass wird schon helfen. AFAIK set das SuSE-Firewall-Scripts in der (sonst leeren) FORWARD chain die default policy DROP.

So weit ich weiss ist die SuSEfirewall2 nur ein Frontend für
IPTABLES, welches die Regeln in IPTABLES einträgt.

Nun… das SuSE-Firewall-Script ist AFAIR ein shell script, welches mit iptables Regeln erstellt. (Frontend scheint mir eine Uebertreibung zu sein.) iptables nun wieder ist ein Frontend, um netfilter im Linux-Kernel zu beschreiben.

Aber ich werd das Ding erstmal deaktivieren und NAT zum Laufen
bekommen und erst danach weiter mit der Firewall rumhantieren.

Gut. Wenn Du nicht klarkommst, komm wieder und bring bitte die Ausgabe von

$ route -n
$ iptables-save
$ cat /proc/sys/net/ipv4/ip\_forward

mit.

Aber hat jemand zu meiner IPTABLES Konfiguration einen heissen
Tipp?

So schlecht sah das erstmal nicht aus.

Ist -i ppp0 die richtige Quelladresse der Pakete oder lieber
eth1 (hier ist das pppoE Modem dran) oder eth0 (hier ist das
LAN dran) verwenden oder gar die LAN IP des Routers?

-i bestimmt das Input-Interface. Zu welchem die Pakete reinkommen musst Du selbst wissen. Zum debuggen sind ein paar zusaetzliche ‚-j LOG‘-Eintraege ganz nuetzlich. Ein

watch -d iptables -t $TABLE -nvL $CHAIN

ist auch ganz nett, um zu sehen, wo Pakete matchen.

HTH,
Gruss vom Zentrum.

Marcus_Scholz_f35377 · 4. September 2003 um 20:00

Hi,

setze Deinen Beitrag bitte unter das Zitat. Du erhoehst damit
die Lesbarkeit ungemein. Danke.

Ok, das mache ich jetzt *gg*

Ok, dann werde ich die Firewall erstmal deaktivieren und das
NAT hinbiegen.

Ich denke mal, dass wird schon helfen. AFAIK set das
SuSE-Firewall-Scripts in der (sonst leeren) FORWARD chain die
default policy DROP.

So weit ich weiss ist die SuSEfirewall2 nur ein Frontend für
IPTABLES, welches die Regeln in IPTABLES einträgt.

Nun… das SuSE-Firewall-Script ist AFAIR ein shell script,
welches mit iptables Regeln erstellt. (Frontend scheint mir
eine Uebertreibung zu sein.) iptables nun wieder ist ein
Frontend, um netfilter im Linux-Kernel zu beschreiben.

Aber ich werd das Ding erstmal deaktivieren und NAT zum Laufen
bekommen und erst danach weiter mit der Firewall rumhantieren.

Gut. Wenn Du nicht klarkommst, komm wieder und bring bitte
die Ausgabe von

$ route -n
$ iptables-save
$ cat /proc/sys/net/ipv4/ip_forward

mit.

So, Firewall ist deaktiviert.
Wo iptables --list mit aktivierter Firewall eine seitenlange Liste ergab, sind jetzt nur noch 3 Einträge drinne. Leider kann ich im Moment nicht sagen, ob das Routing jetzt überhaupt noch funktioniert, weil das DSL Modem im Moment von einem internetgierigen Mitbenutzer in Beschlag ist („Ist sehr wichtig!“ „Ja, ja schon klar - verstehe schon!“)

Aber ich liefer Dir hier schon mal die Ausgabena auf Deine 3 Kommandozeilenbefehle (mit deaktivierter Firewall)

webserver:/home/webserver # route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
webserver:/home/webserver # iptables-save
# Generated by iptables-save v1.2.7a on Thu Sep 4 19:48:50 2003
\*mangle


> PREROUTING ACCEPT [865:70240]  
> INPUT ACCEPT [408:42403]  
> FORWARD ACCEPT [453:27645]  
> OUTPUT ACCEPT [370:33664]  
> POSTROUTING ACCEPT [875:68161]

COMMIT
# Completed on Thu Sep 4 19:48:50 2003
# Generated by iptables-save v1.2.7a on Thu Sep 4 19:48:50 2003
\*filter


> INPUT ACCEPT [102:7819]  
> FORWARD ACCEPT [0:0]  
> OUTPUT ACCEPT [82:7321]

COMMIT
# Completed on Thu Sep 4 19:48:50 2003
# Generated by iptables-save v1.2.7a on Thu Sep 4 19:48:50 2003
\*nat


> PREROUTING ACCEPT [135:12708]  
> POSTROUTING ACCEPT [44:5868]  
> OUTPUT ACCEPT [78:8200]

COMMIT
# Completed on Thu Sep 4 19:48:50 2003
webserver:/home/webserver # cat /proc/sys/net/ipv4/ip\_forward
0

Aber hat jemand zu meiner IPTABLES Konfiguration einen heissen
Tipp?

So schlecht sah das erstmal nicht aus.

Das ist doch mal was

Ist -i ppp0 die richtige Quelladresse der Pakete oder lieber
eth1 (hier ist das pppoE Modem dran) oder eth0 (hier ist das
LAN dran) verwenden oder gar die LAN IP des Routers?

-i bestimmt das Input-Interface. Zu welchem die Pakete
reinkommen musst Du selbst wissen. Zum debuggen sind ein paar
zusaetzliche ‚-j LOG‘-Eintraege ganz nuetzlich. Ein

watch -d iptables -t $TABLE -nvL $CHAIN

ist auch
ganz nett, um zu sehen, wo Pakete matchen.

Also dieser watch Befehl gibt nur obskure Fehlermeldungen aus… aber ich werde mich sowieso wieder melden, wenn ich wieder Zugriff auf das DSL Modem habe und weiter rumexperimentieren kann…
Bis dahin heisst es warten, bis der so super-wichtige Chat vom besagten Mitbenutzer beendet ist…

HTH,
Gruss vom Zentrum.

Cogito_Ergo_Sum · 4. September 2003 um 20:28

Hallo Marcus,

hab nun einen funktionierenden Proof of Concept. Den musst du aber noch anpassen. Nur wenn man die Applikation und deren Protokollimplementierung genau kennt läßt sich ja eine Firewall wirklcih sicher machen. Nachfolgend kann man noch einiges verbessern, insbesondere sind auch eineige udp rules zu viel, kenne aber eben Emule nicht genau genug. Hab noch den 4242 drin, sehr viele gute SErver über den Port laufen:wink: (Für die ANmeldung braucht man evtl. auch garkeint DNAT)

(Jede Firewall ist ja individuell… Und es muss nicht sein, dass das nun auch bei dir so läuft. Basierend auf meiner default DROP Policies für die INPUT UND FORWARD Chain. (Output ist bei mir derzeit noch ACCEPT)

erstmal das DNAT:

#! /bin/sh
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4242 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4242 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4661 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4661 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4662 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to 192.168.0.3

UND! Jetzt wirds (für mich) spannend, das hab ich auch nur durch Logging rausgefunden, gehen die Pakete (logischwer Weise) noch über die FORWARD chain. Zumindest war das mein Fehler warum es nicht auf Anhieb lief. Also die FORWARD Chain auch noch anpassen. (Eigentlich ja logisch, da Prerouting vor der FORWARD Chain sitzt.)

#! /bin/sh
iptables -A FORWARD -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4662 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4661 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport 4661 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4672 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport 4672 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport 4242 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4242 -j ACCEPT

(Ich teste das immer erst in Skripten und integrieren das dann in mein richtige FW Skript). Wie gesagt einiges ist hier überflüssig, aber da musst du dich mal genauer über die E-Mule Protokolle und Ports informieren.

Nach Ausführen der Skripte läuft bei mir Emule auch auf meinem 192.168.0.3 Client. (SNAT/MASQUERADING muss natürlich eingeschaltet sein)

Viele Grüße
Thomas

Anonym · 4. September 2003 um 20:39

setze Deinen Beitrag bitte unter das Zitat. Du erhoehst damit
die Lesbarkeit ungemein. Danke.

Ok, das mache ich jetzt *gg*

Nochmal danke. Selten, dass das jemand beim ersten mal kapiert. Wenn Du Dich jetzt noch darauf beschraenkst, den Text von mir zu zitieren, auf den Du Dich auch wirklich beziehst… perfekt!

Wo iptables --list mit aktivierter Firewall eine seitenlange
Liste ergab, sind jetzt nur noch 3 Einträge drinne.

Naja, jeder hat mal klein angefangen:

root@loki [~] $ iptables -nvL | wc -l
 176
root@loki [~] $

SCNR.

Leider kann ich im Moment nicht sagen, ob das Routing jetzt
überhaupt noch funktioniert, weil das DSL Modem im Moment von
einem internetgierigen Mitbenutzer in Beschlag ist („Ist sehr
wichtig!“ „Ja, ja schon klar - verstehe schon!“)

Soziale Probleme loesen wir hier nicht.

> webserver:/home/webserver # route -n  
> Kernel IP Routentabelle  
> Ziel Router Genmask Flags Metric Ref Use Iface  
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Ja, wo ist denn da die default route? Die kommt hoffentlich wieder, wenn Dir das Kabel wieder angesteckt wird. Da sollte irgendwas wie

0.0.0.0 192.168.3.254 0.0.0.0 UG 1 0 0 eth1

mit drin sein. Wobei 192.168.3.254 das Geteway sein sollte, was Dir Dein Provider (wahrscheinich per DHCP) gibt.

> webserver:/home/webserver # iptables-save  
> [nackiges netfilter]

Haeh? Steh ich auf dem Schlauch? Wo sind denn da die Regeln der PREROUTING hin, die Du schon mal eingefuegt hast?

> webserver:/home/webserver # cat /proc/sys/net/ipv4/ip\_forward  
> 0

Und da gehoert eine 1 rein:

# echo 1 \> /proc/sys/net/ipv4/ip\_forward

sonst forwarded das Teil keine Pakete.

So schlecht sah das erstmal nicht aus.

Das ist doch mal was

Ja, wenn Du sie jetzt noch wieder reinmachst…

Also dieser watch Befehl gibt nur obskure Fehlermeldungen aus…

Die sind geheim? watch fuehrt nur dauerhaft den dahinterstehenden Befehl aus und zeigt die Ausgabe an.

man watch

Bis dahin heisst es warten, bis der so super-wichtige Chat vom
besagten Mitbenutzer beendet ist…

Soziale Probleme …

HTH,
Gruss vom Zentrum.

Marcus_Scholz_f35377 · 4. September 2003 um 20:44

Hi Thomas!

Hallo Marcus,

hab nun einen funktionierenden Proof of Concept. Den musst du
aber noch anpassen. Nur wenn man die Applikation und deren
Protokollimplementierung genau kennt läßt sich ja eine
Firewall wirklcih sicher machen. Nachfolgend kann man noch
einiges verbessern, insbesondere sind auch eineige udp rules
zu viel, kenne aber eben Emule nicht genau genug. Hab noch den
4242 drin, sehr viele gute SErver über den Port laufen:wink: (Für
die ANmeldung braucht man evtl. auch garkeint DNAT)

Besser ein paar Regeln zu viel als zu wenig, ausserdem hab ich ja immer noch ne Firewall auf dem eMule PC, die ich zum Testen aber auch ausgeschaltet habe…

(Jede Firewall ist ja individuell… Und es muss nicht sein,
dass das nun auch bei dir so läuft. Basierend auf meiner
default DROP Policies für die INPUT UND FORWARD Chain. (Output
ist bei mir derzeit noch ACCEPT)

erstmal das DNAT:

#! /bin/sh
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4242 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4242 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4661 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4661 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4662 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j
DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j
DNAT --to 192.168.0.3

UND! Jetzt wirds (für mich) spannend, das hab ich auch nur
durch Logging rausgefunden, gehen die Pakete (logischwer
Weise) noch über die FORWARD chain. Zumindest war das mein
Fehler warum es nicht auf Anhieb lief. Also die FORWARD Chain
auch noch anpassen. (Eigentlich ja logisch, da Prerouting vor
der FORWARD Chain sitzt.)

#! /bin/sh
iptables -A FORWARD -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4662 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4661 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport 4661 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4672 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport 4672 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport 4242 -j ACCEPT
iptables -A FORWARD -i ppp0 -p udp --dport 4242 -j ACCEPT

Aha, sowas hatte ich noch gar nicht behandelt - klingt auf jeden Fall nach nem wertvollen Tipp!

(Ich teste das immer erst in Skripten und integrieren das dann
in mein richtige FW Skript). Wie gesagt einiges ist hier
überflüssig, aber da musst du dich mal genauer über die E-Mule
Protokolle und Ports informieren.

Das ist klar, dass ich das erst dann fest einbaue, wenns bei temporärer Ausführung funktioniert.
Jetzt wäre ich noch schnell für einen Newbie Tipp Dankbar.
Wenn alles wunderbar läuft und dessen bin ich mir bei der Fülle an Antworten und Lösungsansätzen hier schon fast sicher, WO trage ich die fertigen IPTables Werte dann ein? Wie heisst das für die FW zuständige Konfigurationsscript oder ist es egal, in welches Script es reinkommt (vorrausgesetzt natürlich, es wird beim booten geladen).
Und wenn ich jetzt ein eigenes Script anlege nur für das Port Forwarding, wo muss ich was eintragen, damit das Script beim Booten abgearbeitet wird?
Klingt zwar jetzt doof, aber damit habe ich schon seit längerem ein Problem. Dass es keine autoexec.bat gibt ist schon klar *gg* nur wo gibt es ein ähnliches Script, von wo ich dann mein NAT Script aus aufrufen könnte, oder reicht es, dieses dann in dieses init.d/rc[Runlevelnummer] Verzeichnis reinkopieren

Viele bescheuerte Linux n00b Fragen …

Nach Ausführen der Skripte läuft bei mir Emule auch auf meinem
192.168.0.3 Client. (SNAT/MASQUERADING muss natürlich
eingeschaltet sein)

Sollte wohl eingeschaltet sein…

Viele Grüße
Thomas

Marcus_Scholz_f35377 · 4. September 2003 um 21:03

setze Deinen Beitrag bitte unter das Zitat. Du erhoehst damit
die Lesbarkeit ungemein. Danke.

Ok, das mache ich jetzt *gg*

Nochmal danke. Selten, dass das jemand beim ersten mal
kapiert. Wenn Du Dich jetzt noch darauf beschraenkst, den
Text von mir zu zitieren, auf den Du Dich auch wirklich
beziehst… perfekt!

Ok, werd ich versuchen!

iptables -nvL | wc -l
176
root@loki [~] $ SCNR.

Wenn ich das richtig deute gibt er dann die Anzahl der Filterregeln aus, gelle? Bei mir sind das im Moment ohne Firewall ganz wenige. Nur 8

Soziale Probleme loesen wir hier nicht.

Hehe, schon klar. Bin nur „intern“ ein bissel verärgert, weil derjenige seinen Rechner vom Routing befreien möchte, aber gleichzeitig ad hoc über einen funktionierenden Linux Router ins I-Net will. Aber wie gesagt, das tut hier natürlich nix zur Sache, wollte nur andeuten, dass es nicht an meiner Faulheit liegt, dass ich auf Deine und Thomas’ Lösungsvorschläge noch nicht sagen, kann, ob sie mich wirklich weitergebracht haben.

Ziel Router Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Ja, wo ist denn da die default route? Die kommt
hoffentlich wieder, wenn Dir das Kabel wieder angesteckt wird.

Denke ich mal, schließlich funktioniert Internet auf dem Router ja.

Haeh? Steh ich auf dem Schlauch? Wo sind denn da die
Regeln der PREROUTING hin, die Du schon mal eingefuegt hast?

Die sind wech, weil ich die bislang immer über die Shell eingegeben hatte und halt nach einem Reboot verloren gehen, aber die kann ich ja schnell wieder einbauen, wenn das Kabel wieder steckt

webserver:/home/webserver # cat /proc/sys/net/ipv4/ip_forward
0

Und da gehoert eine 1 rein:

echo 1 >

/proc/sys/net/ipv4/ip_forward

sonst forwarded das Teil
keine Pakete.

Das liegt vermutlich am Deaktivieren der Firewall. Hatte alle Einstellungen über das YAST2 Modul der Firewall vorgenommen, das muss ich wohl anscheinend manuell nachtragen.

Ja, wenn Du sie jetzt noch wieder reinmachst…

Mache ich

Also dieser watch Befehl gibt nur obskure Fehlermeldungen aus…

Die sind geheim?

Wenn man Fremdwörter nicht versteht, sollte man sie nicht benutzten --> Fettnäpfchen *gg*

watch fuehrt nur dauerhaft den
dahinterstehenden Befehl aus und zeigt die Ausgabe an.

man watch

Achso, auch gut zu wissen

HTH,
Gruss vom Zentrum.

Vielen Dank und viele Grüsse erstmal
Marcus Scholz

Anonym · 4. September 2003 um 21:32

iptables -nvL | wc -l
176
root@loki [~] $

Wenn ich das richtig deute gibt er dann die Anzahl der
Filterregeln aus, gelle?

Naja, so etwa (etwas mehr).

Soziale Probleme loesen wir hier nicht.

[Erklaerung, warum, weswegen und wie]

Du hast das falsch verstanden. Du musst Dich wegen sowas nicht rechtfertigen, dass interessiert hier sowieso niemanden. Hast Du ein technisches Problem: you are welcome. Die Vorgaenge in Deiner WG kannst Du auf 213.133.98.163:27173 loswerden.

Das liegt vermutlich am Deaktivieren der Firewall. Hatte alle
Einstellungen über das YAST2 Modul der Firewall vorgenommen,
das muss ich wohl anscheinend manuell nachtragen.

Ich kenn YaST nicht, hab’s noch nie ernsthaft verwendet. Es wird aber landlaeufig davon abgeraten, sich zu sehr daran zu gewoehnen.

Also dieser watch Befehl gibt nur obskure Fehlermeldungen aus…

Die sind geheim?

Wenn man Fremdwörter nicht versteht, sollte man sie nicht
benutzten --> Fettnäpfchen *gg*

‚obskur‘ bedeutet nicht geheim, Deine Wortwahl wird schon okay gewesen sein. Ich wollte nur darauf hinweisen, dass Dir hier niemand helfen kann, wenn Du uns nicht die Fehlermeldung sagst, sondern statt dessen, wie sie auf Dich gewirkt hat. Unter Windows mag es ueblich sein, Fenster mit Meldungen nach Groesse, Form und Farbe zu beurteilen … ich drifte ab.

Bitte erst wieder, wenn Du den Router online hast,
Gruss vom Zentrum.

Anonym · 4. September 2003 um 22:53

Besser ein paar Regeln zu viel als zu wenig,

Das stimmt zwar eigentlich nicht, weil ca. 80% der Regeln -j ACCEPT sein sollten (und davon eigentlich jede irgendwie schlecht ist)… aber das machen wir in der zweiten Lektion.

ausserdem hab ich ja immer noch ne Firewall auf dem eMule PC, die ich
zum Testen aber auch ausgeschaltet habe…

So ein Personal-Firewall-Dingens? Du tust gut daran es abzuschalten.

[Die FORWARD nicht vergessen, logisch.]

Aha, sowas hatte ich noch gar nicht behandelt - klingt auf
jeden Fall nach nem wertvollen Tipp!

Vielleicht will der ein oder andere ja mal einen Blick in die wirklich gute Anleitung unter [1] werfen. Dort wird auch schoen erklaert, wie die Pakete durch die Ketten laufen.

WO trage ich die fertigen IPTables Werte dann ein? Wie heisst
das für die FW zuständige Konfigurationsscript oder ist es
egal, in welches Script es reinkommt (vorrausgesetzt
natürlich, es wird beim booten geladen).

Naja, netfilter ist es ziemlich gleich, wann es geschrieben wird. Ein guter Zeitpunkt waere evtl. bevor die Interfaces hochgefahren werden. Nachteil ist dann, dass Du im script nicht so Sachen einbauen kannst, wie das Anpassen der Regeln an die noch nicht bezogene dynamische IP#.

Klingt zwar jetzt doof, aber damit habe ich schon seit
längerem ein Problem. Dass es keine autoexec.bat gibt ist
schon klar *gg* nur wo gibt es ein ähnliches Script, von wo
ich dann mein NAT Script aus aufrufen könnte, oder reicht es,
dieses dann in dieses init.d/rc[Runlevelnummer] Verzeichnis
reinkopieren

Das sind wirklich Sachen, die Du im Handbuch Deiner Distribution nachlesen solltest. Vom Prinzip her: in den rc#-Verzeichnissen liegen symlinks auf die eigentlichen Scripte. Die scripte, die mit S beginnend verlinkt sind werden mit dem Parameter start aufgerufen, was ueblicherweise einen Dienst (o. ae.) startet, die mit K mit stop (sinngemaesz). Die Nummer bestimmt, in welcher Reihenfolge. Weiteres-> Handbuch/FAQs/google/richtiges Brett (in der Reihenfolge!)

HTH,
Gruss vom Zentrum.
===footnotes===
[1] http://iptables-tutorial.frozentux.net/

Marcus_Scholz_f35377 · 4. September 2003 um 22:47

Du hast das falsch verstanden. Du musst Dich wegen sowas
nicht rechtfertigen, dass interessiert hier sowieso niemanden.
Hast Du ein technisches Problem: you are welcome. Die
Vorgaenge in Deiner WG kannst Du auf 213.133.98.163:27173
loswerden.

Achso, in Ordnung! P.S.: Die URL (soll das überhaupt ne URL sein)
klappt nicht …

Das liegt vermutlich am Deaktivieren der Firewall. Hatte alle
Einstellungen über das YAST2 Modul der Firewall vorgenommen,
das muss ich wohl anscheinend manuell nachtragen.

Ich kenn YaST nicht, hab’s noch nie ernsthaft verwendet. Es
wird aber landlaeufig davon abgeraten, sich zu sehr daran zu
gewoehnen.

Jetzt, anch Deaktivieren der Firewall geht nur noch der lokale
Internetzugang auf dem Router.
route -n zeigt jetzt die Standardroute des Providers an
Aber ip-forward steht auf 0.
Kann ich die Datei (/proc/sys/net/ipv4/ip_forward) einfach ändern und
den Wert 1 eintragen?

Fenster mit Meldungen nach
Groesse, Form und Farbe zu beurteilen … ich drifte ab.

Jo, hatte nie behauptet, Fehlermeldungen anders zu deuten, komme ja
gerade aus der bunten Windows Welt - wobei KDE in Pukto
Buntheitsfaktor schon sehr nahe kommt

Bitte erst wieder, wenn Du den Router online hast,
Gruss vom Zentrum.

Jo, ist online

Anonym · 4. September 2003 um 23:01

Die Vorgaenge in Deiner WG kannst Du auf 213.133.98.163:27173
loswerden.

P.S.: Die URL (soll das überhaupt ne URL sein) klappt nicht …

Das ist IP#ort vom W-W-W-Chat (SCNR).

Jetzt, anch Deaktivieren der Firewall geht nur noch der lokale
Internetzugang auf dem Router.
Aber ip-forward steht auf 0.
Kann ich die Datei (/proc/sys/net/ipv4/ip_forward) einfach ändern und
den Wert 1 eintragen?

Ja. Als root. Unter /proc/sys liegt das sysctl interface. Du kannst dort (eingeschraenkt) dynamisch zur Laufzeit Parameter des Kernels manipulieren. Z. B.

# echo 1 \> /proc/sys/net/ipv4/ip\_forward

Wenn es dann nicht geht, nochmal

# iptables-save

HTH,
Gruss vom Zentrum.

Marcus_Scholz_f35377 · 4. September 2003 um 23:37

Hi Zentrum, es geht leider immer noch nicht, ich muss Deine Hilfe
weiterhin in Anspruch nehmen.

hier nochmal alle aktuellen Ausgaben:

webserver:/ # route -n 
Kernel IP Routentabelle 
Ziel Router Genmask Flags Metric Ref 
Use Iface 
195.202.50.1 0.0.0.0 255.255.255.255 UH 0 0 
0 ppp0 
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 
0 eth0 
0.0.0.0 195.202.50.1 0.0.0.0 UG 0 0 
0 ppp0 
webserver:/ # cat /proc/sys/net/ipv4/ip\_forward 
1 
webserver:/ # iptables-save 
# Generated by iptables-save v1.2.7a on Thu Sep 4 23:36:19 2003 
\*nat 


> PREROUTING ACCEPT [1:90]   
> POSTROUTING ACCEPT [1:78]   
> OUTPUT ACCEPT [1:78]

-A PREROUTING -i ppp0 -p udp -m udp --dport 4661 -j DNAT 
--to-destination 192.168.0.3 
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4661 -j DNAT 
--to-destination 192.168.0.3 
-A PREROUTING -i ppp0 -p udp -m udp --dport 4662 -j DNAT 
--to-destination 192.168.0.3 
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4662 -j DNAT 
--to-destination 192.168.0.3 
-A PREROUTING -i ppp0 -p udp -m udp --dport 4665 -j DNAT 
--to-destination 192.168.0.3 
-A PREROUTING -i ppp0 -p udp -m udp --dport 4665 -j DNAT 
--to-destination 192.168.0.3 
COMMIT 
# Completed on Thu Sep 4 23:36:19 2003 
# Generated by iptables-save v1.2.7a on Thu Sep 4 23:36:19 2003 
\*filter 


> INPUT ACCEPT [3:220]   
> FORWARD ACCEPT [0:0]   
> OUTPUT ACCEPT [2:130]

-A FORWARD -i ppp0 -p tcp -m tcp --dport 4662 -j ACCEPT 
-A FORWARD -i ppp0 -p udp -m udp --dport 4662 -j ACCEPT 
-A FORWARD -i ppp0 -p udp -m udp --dport 4661 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 4661 -j ACCEPT 
-A FORWARD -i ppp0 -p udp -m udp --dport 4665 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 4665 -j ACCEPT 
COMMIT 
# Completed on Thu Sep 4 23:36:19 2003

Anonym · 5. September 2003 um 00:22

Hi Zentrum, es geht leider immer noch nicht, ich muss Deine
Hilfe weiterhin in Anspruch nehmen.

*seufz*

hier nochmal alle aktuellen Ausgaben:

(Zeilenumbrueche in sowas sind schlecht. Wenn moeglich, vermeiden. Danke.)

> webserver:/ # route -n  
> Kernel IP Routentabelle  
> Ziel Router Genmask Flags Metric Ref Use Iface  
> 195.202.50.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0  
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0  
> 0.0.0.0 195.202.50.1 0.0.0.0 UG 0 0 0 ppp0

Okay.

> webserver:/ # cat /proc/sys/net/ipv4/ip\_forward  
> 1

Okay.

> webserver:/ # iptables-save  
> # Generated by iptables-save v1.2.7a on Thu Sep 4 23:36:19  
> 2003  
> \*nat  
> [IHMO korrekte Regeln]  
> COMMIT  
> # Completed on Thu Sep 4 23:36:19 2003  
> # Generated by iptables-save v1.2.7a on Thu Sep 4 23:36:19  
> 2003  
> \*filter  
> 
> > INPUT ACCEPT [3:220]   
> > FORWARD ACCEPT [0:0]   
> > OUTPUT ACCEPT [2:130]

Durch diese default policy in der FORWARD

> -A FORWARD -i ppp0 -p tcp -m tcp --dport 4662 -j ACCEPT  
> -A FORWARD -i ppp0 -p udp -m udp --dport 4662 -j ACCEPT  
> -A FORWARD -i ppp0 -p udp -m udp --dport 4661 -j ACCEPT  
> -A FORWARD -i ppp0 -p tcp -m tcp --dport 4661 -j ACCEPT  
> -A FORWARD -i ppp0 -p udp -m udp --dport 4665 -j ACCEPT  
> -A FORWARD -i ppp0 -p tcp -m tcp --dport 4665 -j ACCEPT

sind diese Regeln eigentlich ueberfluessig. Stoert aber erstmal nicht. Spaeter solltest Du ueber ein

# iptables -P FORWARD DROP

nachdenken.

> COMMIT  
> # Completed on Thu Sep 4 23:36:19 2003

Also, ich seh nichts mehr. Sollte gehen, aber ich hab keine Ahnung, ob eMule mit den ge’forward’eten Ports schon zufrieden ist. Sind bei

# iptables -nvL FORWARD

Pakete in der ersten Spalte? Mach mal ein

# iptables -A FORWARD -j LOG

mit ran und sieh Dir an, was fuer Pakete da wirklich drueber gehen. (Spaeter wieder rausnehmen, so machst Du dir die logfiles kaputt.)

Dann bin ich mit meinem Latein am Ende. Nacht,
Gruss vom Zentrum.

Marcus_Scholz_f35377 · 5. September 2003 um 21:38

So, ich habe die „Firewall“ die eigentlich nichts anderes macht als ein paar IPTABLES Regeln zu schreiben wieder aktiviert, jetzt klappt das Routing wieder. Ich werf Dir einfach mal die Ausgaben vor, die er auspuckt auf die 3 Befehle, die ich von Dir habe. Hoffe, Du kannst mir was dazu sagen.
Ich habe die eMule Ports wieder eingebunden (nach Neustart) via Script, aber der connection Test sagt mir, dass die Pakete von der Firewall abgefangen werden. Obwohl ich die Ports eigentlich (via YAST2 GUI) freigegeben hatte (webserver:/home/webserver # route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
195.202.50.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 195.202.50.1 0.0.0.0 UG 0 0 0 ppp0
webserver:/home/webserver # cat /proc/sys/net/ipv4/ip_forward
1
webserver:/home/webserver # iptables-save

Generated by iptables-save v1.2.7a on Fri Sep 5 21:36:53 2003

*mangle

PREROUTING ACCEPT [1291741:273591782]
INPUT ACCEPT [38659:30673440]
FORWARD ACCEPT [1251576:242678382]
OUTPUT ACCEPT [28303:3935114]
POSTROUTING ACCEPT [1278599:246539478]

-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 20 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 20 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 53 -j TOS --set-tos 0x10
-A PREROUTING -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 53 -j TOS --set-tos 0x10
-A PREROUTING -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 161 -j TOS --set-tos 0x04
-A PREROUTING -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 162 -j TOS --set-tos 0x04
-A PREROUTING -p udp -m udp --dport 514 -j TOS --set-tos 0x04
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 20 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 20 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 53 -j TOS --set-tos 0x10
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 53 -j TOS --set-tos 0x10
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 161 -j TOS --set-tos 0x04
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 162 -j TOS --set-tos 0x04
-A OUTPUT -p udp -m udp --dport 514 -j TOS --set-tos 0x04
-A POSTROUTING -o ppp0 -p tcp -m length --length 0:64 -j MARK --set-mark 0xa
-A POSTROUTING -o ppp0 -p tcp -m tos --tos Minimize-Delay -m tcp --dport 22 -j MARK --set-mark 0xa
-A POSTROUTING -o ppp0 -p tcp -m tos --tos Minimize-Delay -m tcp --sport 22 -j MARK --set-mark 0xa
-A POSTROUTING -o ppp0 -p udp -m udp --dport 53 -j MARK --set-mark 0xa
-A POSTROUTING -o ppp0 -p tcp -m tcp --dport 53 -j MARK --set-mark 0xa
-A POSTROUTING -o ppp0 -p esp -j MARK --set-mark 0xb
COMMIT

Completed on Fri Sep 5 21:36:53 2003

Generated by iptables-save v1.2.7a on Fri Sep 5 21:36:53 2003

*nat

PREROUTING ACCEPT [51592:2219229]
POSTROUTING ACCEPT [768:81475]
OUTPUT ACCEPT [863:87856]

-A PREROUTING -i ppp0 -p udp -m udp --dport 4661 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4661 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p udp -m udp --dport 4662 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4662 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p udp -m udp --dport 4665 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i ppp0 -p udp -m udp --dport 4665 -j DNAT --to-destination 192.168.0.3
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

Completed on Fri Sep 5 21:36:53 2003

Generated by iptables-save v1.2.7a on Fri Sep 5 21:36:53 2003

*filter

INPUT DROP [0:0]
FORWARD DROP [0:0]
OUTPUT ACCEPT [8:640]
forward_dmz - [0:0]
forward_ext - [0:0]
forward_int - [0:0]
input_dmz - [0:0]
input_ext - [0:0]
input_int - [0:0]
reject_func - [0:0]

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 137:138 -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -d 127.0.0.0/255.0.0.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -s 192.168.0.1 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 192.168.0.1 -j DROP
-A INPUT -s 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 195.202.51.176 -j DROP
-A INPUT -d 195.202.51.176 -i ppp0 -j input_ext
-A INPUT -d 192.168.0.1 -i eth0 -j input_int
-A INPUT -d 192.168.0.255 -i eth0 -j DROP
-A INPUT -d 255.255.255.255 -i eth0 -j DROP
-A INPUT -d 195.202.51.176 -i eth0 -j LOG --log-prefix "SuSE-FW-ACCESS_DENIED_INT " --log-tcp-options --log-ip-options
-A INPUT -d 195.202.51.176 -i eth0 -j DROP
-A INPUT -j LOG --log-prefix "SuSE-FW-ILLEGAL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j forward_ext
-A FORWARD -i eth0 -j forward_int
-A FORWARD -j LOG --log-prefix "SuSE-FW-ILLEGAL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix "SuSE-FW-FORWARD-ERROR " --log-tcp-options --log-ip-options
-A FORWARD -i ppp0 -p tcp -m tcp --dport 4662 -j ACCEPT
-A FORWARD -i ppp0 -p udp -m udp --dport 4662 -j ACCEPT
-A FORWARD -i ppp0 -p udp -m udp --dport 4661 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 4661 -j ACCEPT
-A FORWARD -i ppp0 -p udp -m udp --dport 4665 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 4665 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j LOG --log-prefix "SuSE-FW-TRACEROUTE-ATTEMPT " --log-tcp-options --log-ip-options
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/9 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/10 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/13 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j DROP
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG --log-prefix "SuSE-FW-OUTPUT-ERROR " --log-tcp-options --log-ip-options
-A forward_dmz -s 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_dmz -s 195.202.51.176 -j DROP
-A forward_dmz -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_dmz -s 192.168.0.0/255.255.255.0 -j DROP
-A forward_dmz -d 192.168.0.1 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_dmz -d 192.168.0.1 -j DROP
-A forward_dmz -d 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_dmz -d 195.202.51.176 -j DROP
-A forward_dmz -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_dmz -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A forward_dmz -j DROP
-A forward_ext -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_ext -s 192.168.0.0/255.255.255.0 -j DROP
-A forward_ext -d 192.168.0.1 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.1 -j DROP
-A forward_ext -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -s 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_int -s 195.202.51.176 -j DROP
-A forward_int -d 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_int -d 195.202.51.176 -j DROP
-A forward_int -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_int -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A forward_int -j DROP
-A input_dmz -s 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_dmz -s 195.202.51.176 -j DROP
-A input_dmz -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_dmz -s 192.168.0.0/255.255.255.0 -j DROP
-A input_dmz -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_dmz -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 2 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -j DROP
-A input_dmz -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j reject_func
-A input_dmz -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_dmz -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_dmz -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_dmz -s 195.202.32.79 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_dmz -s 195.202.33.68 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_dmz -p udp -m udp --dport 21 -j DROP
-A input_dmz -p udp -m udp --dport 22 -j DROP
-A input_dmz -p udp -m udp --dport 68 -j DROP
-A input_dmz -p udp -m udp --dport 80 -j DROP
-A input_dmz -p udp -m udp --dport 111 -j DROP
-A input_dmz -p udp -m udp --dport 111 -j DROP
-A input_dmz -p udp -m udp --dport 137 -j DROP
-A input_dmz -p udp -m udp --dport 138 -j DROP
-A input_dmz -p udp -m udp --dport 139 -j DROP
-A input_dmz -p udp -m udp --dport 443 -j DROP
-A input_dmz -p udp -m udp --dport 901 -j DROP
-A input_dmz -p udp -m udp --dport 6000 -j DROP
-A input_dmz -p udp -m udp --dport 10000 -j DROP
-A input_dmz -p udp -m udp --dport 10000 -j DROP
-A input_dmz -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_dmz -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A input_dmz -j DROP
-A input_ext -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_ext -s 192.168.0.0/255.255.255.0 -j DROP
-A input_ext -s 195.202.51.176 -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-ACCEPT-SOURCEQUENCH " --log-tcp-options --log-ip-options
-A input_ext -s 195.202.51.176 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 2 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -j DROP
-A input_ext -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 21 -j ACCEPT
-A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j ACCEPT
-A input_ext -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 443 -j ACCEPT
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 22 -j ACCEPT
-A input_ext -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j reject_func
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 901 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_ext -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_ext -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_ext -s 195.202.32.79 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_ext -s 195.202.33.68 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_ext -p udp -m udp --dport 22 -j DROP
-A input_ext -p udp -m udp --dport 68 -j DROP
-A input_ext -p udp -m udp --dport 80 -j DROP
-A input_ext -p udp -m udp --dport 111 -j DROP
-A input_ext -p udp -m udp --dport 111 -j DROP
-A input_ext -p udp -m udp --dport 137 -j DROP
-A input_ext -p udp -m udp --dport 138 -j DROP
-A input_ext -p udp -m udp --dport 139 -j DROP
-A input_ext -p udp -m udp --dport 443 -j DROP
-A input_ext -p udp -m udp --dport 901 -j DROP
-A input_ext -p udp -m udp --dport 6000 -j DROP
-A input_ext -p udp -m udp --dport 10000 -j DROP
-A input_ext -p udp -m udp --dport 10000 -j DROP
-A input_ext -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_ext -p udp -m state --state ESTABLISHED -m udp --dport 61000:65095 -j ACCEPT
-A input_ext -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -s 195.202.51.176 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_int -s 195.202.51.176 -j DROP
-A input_int -j ACCEPT
-A input_int -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_int -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 2 -j LOG --log-prefix "SuSE-FW-DROP-ICMP-CRIT " --log-tcp-options --log-ip-options
-A input_int -p icmp -j DROP
-A input_int -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j reject_func
-A input_int -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_int -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_int -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_int -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_int -s 195.202.32.79 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_int -s 195.202.33.68 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_int -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_int -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 5 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 13 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p icmp -m icmp --icmp-type 17 -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -p udp -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -m state --state INVALID -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT-INVALID " --log-tcp-options --log-ip-options
-A input_int -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT

Completed on Fri Sep 5 21:36:53 2003