Debian IPTables

Computer: Software & Programmierung UNIX & Linux
#1

Hi haben ein minimales IPTable Problemchen - Wir haben keine Ahnung!

Aufgabe
externe Netzwerkkarte:
eth0 = Interne Netzwerkkarte
eth1 = externe Netzwerkkarte

IP-Forwarding

von Innen -> Aussen: 1 - 65536 also alles
von Aussen -> Innen: SSH(22), DNS(53)

So das die Angaben!
Haben versucht mit Google was sinvolles zu finden -> ergebnisslos!

Könnte uns wer ein paar Tips geben oder ein Beispielsskript oder ähnliches geben

Danke

#2

Haben versucht mit Google was sinvolles zu finden ->
ergebnisslos!

Google-Suche nach iptables, erstes Ergebnis: http://www.netfilter.org/

Die HOWTOs-Sektion dürfte recht interessant sein, die wichtigsten Sachen gibt es sogar auf Deutsch, allerdings sind die englischen Texte meistens aktueller. Das für dich relevante HOWTO ist dieses:

http://www.netfilter.org/documentation/HOWTO//NAT-HO…

Schau dir vor allem Abschnitt 6 zum Thema „Destination NAT“ an, das dürfte das sein, was du willst.

Und überleg dir gut, was du mit dem ssh-Port anstellst, sonst kommst du eventuell nur noch per Konsole auf den Firewall-Rechner.

#3

Könnte uns wer ein paar Tips geben oder ein
Beispielsskript oder ähnliches geben

Hier findest du das Script, das ich für meine ersten Gehversuche mit iptables als Vorlage genommen habe (Allerdings waren meine Ziele damals schon etwas höhergesteckt:wink:: http://www.dr-lotz.de/iptables-200310.php

Unter http://www.dr-lotz.de/iptables.php eine aktuellere Version.

Warum willst du eigentlich Port 53 für den Zugriff von aussen öffnen? Willst du wirklich einen eigenen DNS-Server betreiben?

Gruss
Schorsch

#4

Hi

Hallo,

haben ein minimales IPTable Problemchen - Wir haben keine
Ahnung!

Hm, ich wuerde sagen, Du hast ein maximales (iptables-) Problem.

Aufgabe
externe Netzwerkkarte:
eth0 = Interne Netzwerkkarte
eth1 = externe Netzwerkkarte

IP-Forwarding

Ja, dann mach das doch.

von Innen -> Aussen: 1 - 65536 also alles
von Aussen -> Innen: SSH(22), DNS(53)

Hm? Was soll das bedeuten?

So das die Angaben!
Haben versucht mit Google was sinvolles zu finden ->
ergebnisslos!

Könnte uns wer ein paar Tips geben oder ein Beispielsskript
oder ähnliches geben

Beispiele? Klar:

 # iptables -N foo
 # iptables -N bar
 # iptables -A bar -j foo -p tcp -i eth0 --sport 1:65535 --dport 22
 # iptables -A bar -j foo
 # iptables -A foo -j LOG
 # iptables -A foo -j bar
 # iptables -I INPUT -j foo
 # iptables -I FORWARD -j bar

Und vorher solltest Du aber besser noch das lesen: http://iptables-tutorial.frozentux.net/iptables-tuto…
Sag mir, ob’s geklappt hat,
Gruss vom Frank.

#5

Hallo Frank,

Beispiele? Klar:

iptables -N foo

iptables -N bar

iptables -A bar -j foo -p tcp -i eth0 --sport 1:65535

–dport 22

iptables -A bar -j foo

iptables -A foo -j LOG

iptables -A foo -j bar

iptables -I INPUT -j foo

iptables -I FORWARD -j bar

Und da wunderst Du Dich, dass manche Leute über Dich schlecht reden :wink:

Und vorher solltest Du aber besser noch das lesen:
http://iptables-tutorial.frozentux.net/iptables-tuto…

DAS ist ein sehr guter Tipp!

Mfg,
Púrsti

#6

Hallo Frank,

Hi,

Und da wunderst Du Dich, dass manche Leute über Dich schlecht
reden :wink:

Tun sie das? Buhuhuhuhuuu, manche Leute sind so gemein. Und das so kurz vor Weihnachten. Dabei mache ich doch immer, was OP will. In dem Fall ein Beispiel liefern. Funktioniert es etwas nicht? (Ich gestehe, dass ich es vorher nicht getestet hab.)

http://iptables-tutorial.frozentux.net/iptables-tuto…

DAS ist ein sehr guter Tipp!

Jup, deshalb gleich nochmal.

Gruss vom Frank.

#7

Hallo,

Und da wunderst Du Dich, dass manche Leute über Dich schlecht
reden :wink:

Tun sie das? Buhuhuhuhuuu, manche Leute sind so
gemein. Und das so kurz vor Weihnachten. Dabei mache ich
doch immer, was OP will. In dem Fall ein Beispiel liefern.
Funktioniert es etwas nicht? (Ich gestehe, dass ich es vorher
nicht getestet hab.)

Wieso musst Du gleich so ein kompliziertes Beispiel bringen. Viel übersichtlicher wäre doch

iptables -t mangle -I PREROUTING -j MIRROR

Ist ganz kurz und hat lustige Effekte…

Mfg,
Pürsti

Disclaimer: Die Eingabe des obigen Beispieles erfolgt auf eigene Gefahr.

#8 
> iptables -t mangle -I PREROUTING -j MIRROR

Ist ganz kurz und hat lustige Effekte…

War mir *zu* kurz. (Oder sollte ich ‚uebersichtlich‘ sagen?)

Disclaimer: Die Eingabe des obigen Beispieles erfolgt
auf eigene Gefahr.

Jeder ist selbst dafuer verantwortlich, was er mit seinem Rechner macht.

Gruss vom Frank.

#9

Naja werd mir das tuto durchlesen und sag schon mal danke!

#10

Naja werd mir das tuto durchlesen und sag schon mal danke!

Mach das! Das Tutorial ist wirklich sehr lehrreich. Falls Du dann noch Fragen wegen Deinem Problem hast, melde Dich wieder. Frank (oder notfalls ich) werden Dir dabei sicherlich hilfreich zur Seite stehen können.

Alles Gute,
Pürsti

#11

hi florian-
paar links gefällig?
zum anfang etwas einfacher als das erwähnte standardwerk von oskar andreasson ist diese nette sache von klaus gerhard (außerdem auf deutsch):
http://www.belug.de/~k-gerhardt/firewall/firewall_mi…
älter, aber noch ok:
http://www.pl-forum.de/t_netzwerk/iptables.html
grundsätzlich finde ich die anregungen aus dieser disko
http://www.linuxforen.de/forums/archive/index.php/t-…
bedenkenswert: greife dir ein tool wie dieses
http://www.fs-security.com/ (oder z.b. guarddog)
erstelle damit ein script und passe das dann an deine bedürfnisse an (den oskar würde ich als nachschlagewerk verwenden…).

HTH
bernd