IPTables

Moin Moin

Hoffe das is das richtige Forum

Ich hab folgendes Problem und hoffe ihr könnt mir helfen.

Ich bin seid neusten mit unserer Linux Firewall beauftragt worden und heute muste ich das erste mal dran arbeiten und bin kläglich gescheitert . Ich möchte einem Rechner aus einem anderen Netzwerk ( IP 1.2.3.4) erlauben auf unsere Netzinterne Homepage zu gelangen (Ip des Servers wo die HP liegt 4.3.2.1).

Nun meine Fragen wie sieht die Regel aus und wie speicher ich diese ?

Servus technofreak,

hier ein Tutorial um iptables und alles was dazugehört: http://iptables-tutorial.frozentux.net/iptables-tuto…

was spricht gegen ein
iptables -A INPUT -p TCP -s 1.2.3.4 -d 4.3.2.1 -dport 80 -j ACCEPT

oder hast du eine NAT? ich habe z.B. folgendes für meine NAT, ganz primitiv und schnell hingestrickt:

INET_IF=„eth1“
LOC_IF=„eth0“

#Activate ipforwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#Route from nat to eth1
iptables -t nat -A POSTROUTING -o $INET_IF -j MASQUERADE

#Allow traffic from eth0
iptables -A FORWARD -p ALL -i $LOC_IF -j ACCEPT
#Allow traffic from net to eth0
iptables -A FORWARD -p ALL -i $INET_IF -j ACCEPT

prinzipiell würde ich aber vorschlagen ein tutorial zu lesen. Nur so bringt man genau das hin, was man eigentlich möchte und man kommt vielleicht drauf was man wirklich möchte, wenn man weiß was gehen könnte…

mfg.

Hallo,

nutze am besten ein tool wie den FW builder.

http://www.fwbuilder.org/

Damit wird es übersichtlicher.

Dennoch solltest Du mal einen Blick in die Anleitung zu iptables werfen, um zu wissen, worum es geht.

Generell halte ich es für keine gute Idee, jemanden ohne jegliche Vorkenntnisse als Firewalladmin einzusetzen. Du solltest beim Chef sofort mindestens eine entsprechende Schulung beantragen. Außerdem sollte man für die erste Zeit einen externen Experten anheuern.

Gruß

Fritze

Das sieht schonmal gut aus. NAT benutzen wir nicht und ich bin bei einem weltweiten sehr bekannten Sicherheitsunternehmen und dort wird man auf posten gesetzt ohne geschult zu werden . Aber schonmal Danke ich werde es morgen einmal versuchen. Noch ne Frage wieso INPUT und nicht FORWARD

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo technofreak,

ich bin
bei einem weltweiten sehr bekannten Sicherheitsunternehmen und
dort wird man auf posten gesetzt ohne geschult zu werden .

Ein weltweit bekanntes Sicherheitsunternehmen setzt einen mit der Materie noch nicht so vertrauten Menschen ohne Schulung auf einen sicherheitsrelevanten Posten 8-(
Na gute Nacht, Marie… Wieviel Vertrauen soll ich dann in die Sicherheit haben???

PS. Damit wir uns nicht falsch verstehen, das geht auf keinen Fall gegen dich.
Viele Grüße
Marvin

Das sieht schonmal gut aus. NAT benutzen wir nicht

Aha – nur so nebenbei – wie funktioniert bei euch Verkehr von innen nach außen resp. von außen nach innen? Öffentliche IPs & normales IP Routing?

bei einem weltweiten sehr bekannten Sicherheitsunternehmen und
dort wird man auf posten gesetzt ohne geschult zu werden .

„weltweiten, bekanntem“ oder „weltweit bekanntem“?

Aber schonmal Danke ich werde es morgen einmal versuchen.

Ist das ein Produktivsystem auf dem du das versuchst? Ich meine, der geringste Blödsinn der dir passieren kann, ist, dass der Inetverkehr abgeschnitten ist…

Noch ne Frage wieso INPUT und nicht FORWARD

Das sind ganz vierschiedene Dinge! Aus „man iptables“:

filter:
This is the default table (if no -t option is passed). It contains the
built-in chains INPUT (for packets destined to local sockets), FORWARD (for
packets being routed through the box), and OUTPUT (for locally-generated
packets).

Bervor dir das nicht absolut klar ist, würde ich auf keinen Fall(!) auf einem System irgendwas herumprobieren!

mfg.