Home » Mac OS X und Linux Sicherheit » Iptables bringen mich zur Verzweiflung!!! » Themenansicht

Iptables bringen mich zur Verzweiflung!!!
#0
20.01.2003, 18:42
dramesis
...neu hier

Beiträge: 1
#1 Hi Leute,

ich bin seit wochen dran mir eigene FW-Regeln zu erstellen, und im großen und ganzen läuft auch alles, ABER

Emule, Kazaa, etc bekomme ich einfach nicht zum laufen!

wat nu????

stelle mal mein Script zur verfügung, vielleicht könnt Ihr ja meine Fehler endecken.#!/bin/tcsh
echo "----------Firewall wird gestartet !----------"

set IPTABLES = /usr/sbin/iptables
set EXT = ippp0 ippp2
set INT = eth0
set IF = ( $EXT $INT )
set ALL = 0.0.0.0/0.0.0.0
set LOGHOST = 127.0.0.1
set NS = ( 192.168.0.0 )
set INTERN = 192.168.0.0/255.255.255.0
set INTBCAST = 192.0.0.255
set SELF_IP = 192.0.0.0
set p_low = 1:1023
set p_high = 1024:65535
set p_ssh = 1000:1023
set TRACE_S_PORTS = 32769:65535
set TRACE_D_PORTS = 33434:33523

# Module laden
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ipt_tcpmss
modprobe ipt_MASQUERADE

echo "0" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#
# Bei Problemen mit dem Aufruf einiger Web-Seiten, z.B. auch oft
# bei Online-Banking (DB24) bitte folgendes aktivieren:
echo "0" > "/proc/sys/net/ipv4/tcp_ecn"

# Fuer ippp0 ippp2 werden bei nicht bestehender Verbindung Fehler ausgegeben
foreach if ( $IF )
echo "1" > /proc/sys/net/ipv4/conf/$if/rp_filter
echo "0" > /proc/sys/net/ipv4/conf/$if/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/$if/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/$if/bootp_relay
echo "1" > /proc/sys/net/ipv4/conf/$if/log_martians
end

echo "alte Regeln werden geloescht"

########Alles verbieten
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP



###### Alle Regeln loeschen
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -Z

echo " Neue Regeln werden aufgestellt"

# lokale Prozesse frei geben
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

# DROP und LOG Chain
$IPTABLES -N my_drop
$IPTABLES -A my_drop -p ICMP -j LOG --log-prefix "DROP-ICMP "
$IPTABLES -A my_drop -p UDP -j LOG --log-prefix "DROP-UDP "
$IPTABLES -A my_drop -p TCP -j LOG --log-prefix "DROP-TCP "
$IPTABLES -A my_drop -j DROP

##
## LOKALES Netzwerk (Intranet)
##

# Zeitabfrage der LAN-Clients
# Bei Zeitanfrage per ntpdate
$IPTABLES -A INPUT -i $INT -s $INTERN -p UDP --sport 123 --dport 123 -j ACCEPT
# Bei Zeitanfragen per netdate
$IPTABLES -A INPUT -i $INT -s $INTERN -p UDP --dport 37 -j ACCEPT

# ICMP (z.B. internes pingen)
$IPTABLES -A OUTPUT -o $INT -p ICMP --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -i $INT -p ICMP -j ACCEPT

### CS-Server im LAN
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27015 -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p UDP --dport 27012 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 13139 -j ACCEPT
# won
$IPTABLES -A OUTPUT -o $EXT -p TCP --dport 7002 -j ACCEPT
# Interne Spieler
$IPTABLES -A OUTPUT -o $INT -p UDP --sport 27015 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p UDP --dport 27015:27024 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p UDP --dport 27005 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p UDP --dport 13139 -j ACCEPT
# Externe Spieler
$IPTABLES -A OUTPUT -o $EXT -p UDP --sport 27015 -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p UDP --sport 13139 -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p UDP --dport 27015:27024 -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p UDP --dport 27005 -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p UDP --dport 13139 -j ACCEPT

# Fuer lokale / interne MySQL-Abfragen
$IPTABLES -A INPUT -i $INT -p TCP --dport 3306 -j ACCEPT

# Fuer MySQL-Abfragen _ins_ Internet
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 3306 -j ACCEPT

# Fuer lokale / interne Webmin-Abfragen
$IPTABLES -A INPUT -i $INT -p TCP --dport 10000 -j ACCEPT


# Fuer lokale / interne IMAP-Abfragen
$IPTABLES -A INPUT -i $INT -p TCP --dport 143 -j ACCEPT


# Fuer Webmin-Abfragen Internet
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 10000 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 10000 -j ACCEPT

# Fuer lokale / interne FTP-Abfragen
$IPTABLES -A INPUT -i $INT -p TCP --dport 21 -j ACCEPT

# Fuer SQUID
$IPTABLES -A INPUT -i $INT -p TCP --dport http -j ACCEPT
# Die nachstehende Regel muss aktiviert sein, damit die entsprechenden Pakete
# passieren koennen
$IPTABLES -A INPUT -i $INT -p TCP --dport 3128 -j ACCEPT
# Jetzt noch die http-Pakete an den Squid umleiten
#$IPTABLES -t nat -A PREROUTING -i $INT -p tcp --dport 80 -j REDIRECT --to-port 3128

# Interner NFS-Zugriff auf Firewall
$IPTABLES -A INPUT -i $INT -p UDP -s $INTERN --dport 111 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p TCP -s $INTERN --dport 111 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p UDP -s $INTERN --dport 2049 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p UDP -s $INTERN --dport 32772 -j ACCEPT
#$IPTABLES -A INPUT -i $INT -p UDP -s $INTERN --dport 635 -j ACCEPT

# Fuer lokalen DNS
$IPTABLES -A INPUT -i $INT -p UDP --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p TCP --dport 53 -j ACCEPT

# Abfrage von Mail-Server auf Firewall
$IPTABLES -A INPUT -i $INT -p TCP --dport 110 -j ACCEPT

# Fuer lokalen Samba-Server
#$IPTABLES -N SAMBA 2>/dev/null
$IPTABLES -A INPUT -i $INT -p UDP --dport 137:139 -j ACCEPT
$IPTABLES -A INPUT -i $INT -p TCP --dport 137:139 -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p UDP --sport 137:139 -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p TCP --sport 137:139 -j ACCEPT

# Internen SSH-Zugriff erlauben
# Von Firewall auf andere Rechner im LAN
$IPTABLES -A INPUT -i $INT -p TCP -s $INTERN --sport ssh -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p TCP -s $INTERN --dport ssh -j ACCEPT
# Von anderen LAN-Rechnern auf FW
$IPTABLES -A INPUT -i $INT -p TCP -s $INTERN --dport ssh -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p TCP -s $INTERN --sport ssh -j ACCEPT

# Alles, was aus dem internen Netz kommt, muss
# eine interne IP haben, ansonsten wird gedroppt
$IPTABLES -A FORWARD -i $INT -s ! $INTERN -j DROP

##
## EXTERNES Netzwerk
##
# Masquerading
$IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# ausgehende Pakete bereits bestehender Verbindungen alle erlauben
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INT -o $EXT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Rueckkanal
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW,INVALID -j my_drop

$IPTABLES -A FORWARD -i $EXT -o $INT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $EXT -o $INT -m state --state NEW,INVALID -j my_drop

# ICMP auf interne Broadcast-Adresse von außen
$IPTABLES -A INPUT -i $EXT -p ICMP -d $INTBCAST -j my_drop
# ICMP auf interne Broadcast-Adresse von innen
$IPTABLES -A INPUT -i $INT -p ICMP -d $INTBCAST -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p ICMP -d $INTBCAST -j ACCEPT
# ICMP
$IPTABLES -A FORWARD -o $EXT -p ICMP --icmp-type echo-request -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p ICMP --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -i $INT -p ICMP -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p ICMP -j ACCEPT

# DNS
foreach ns ( $NS )
$IPTABLES -A OUTPUT -p UDP --sport $p_high -d $ns --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport $p_high -d $ns --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p UDP --sport $p_high -d $ns --dport domain -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high -d $ns --dport domain -j ACCEPT
end
# Antworten des lokalen DNS ans interne Netz erlauben
$IPTABLES -A OUTPUT -p UDP -s $SELF_IP --sport 53 -d $INTERN --dport $p_high -j ACCEPT

# HTTP
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT
##$IPTABLES -A INPUT -p TCP --sport $p_high --dport 8080 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport $p_high --dport http -m state --state NEW -j ACCEPT
##$IPTABLES -A OUTPUT -p TCP --sport $p_high --dport 8080 -m state --state NEW -j ACCEPT

# FTP
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport 21 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport $p_high --dport 21 -m state --state NEW -j ACCEPT

# HTTPS
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport 443 -j ACCEPT

# HTTP nicht forwarden, wenn SQUID laeuft
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT

# NTP - Network Time Protokoll - Zeitanfragen auf Zeitserver im WWW
$IPTABLES -A OUTPUT -o $EXT -p UDP --sport 123 --dport 123 -j ACCEPT

# SMTP / POP3
##$IPTABLES -A OUTPUT -p TCP --sport $p_high --dport pop3 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high -d $ALL --dport pop3 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high -d $ALL --dport smtp -j ACCEPT


# SyslogD-Ausgaben der Firewall auf anderen LAN-Rechner erlauben
$IPTABLES -A OUTPUT -o $INT -p UDP --sport 514 --dport 514 -j ACCEPT

# Traceroute
$IPTABLES -A OUTPUT -o $EXT -p UDP --sport $TRACE_S_PORTS \
--dport $TRACE_D_PORTS \
-m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP --sport $TRACE_S_PORTS \
--dport $TRACE_D_PORTS \
-m state --state NEW -j ACCEPT

# WHOIS
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport 43 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport $p_high --dport 43 -m state --state NEW -j ACCEPT

# Real-Time-Stream-Protokoll (RealMedia)
# lokal
$IPTABLES -A INPUT -i $INT -p tcp --dport rtsp -j ACCEPT
$IPTABLES -A INPUT -i $INT -p tcp --sport rtsp -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p tcp --dport rtsp -j ACCEPT
$IPTABLES -A OUTPUT -o $INT -p tcp --sport rtsp -j ACCEPT
# oeffentlich (WAN)
$IPTABLES -A OUTPUT -p TCP --sport $p_high --dport rtsp -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport $p_high --dport rtsp -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport 3128 --dport $p_high -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p TCP --sport 3128 --dport $p_high -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p UDP --sport $p_high --dport 6970 -j ACCEPT

# NNTP - News-Server-Abfragen
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 5190 -j ACCEPT

### ICQ ###
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 119 -j ACCEPT

### IRC ###
$IPTABLES -A FORWARD -o $EXT -p TCP --dport 6666:6669 -j ACCEPT

### Share-Tools ###
### Morpheus / LimeWire / Napster / Gnutella
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 6346:6347 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 6347 -j ACCEPT
# Morpheus braucht auch dies
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 1214 -j ACCEPT

##### OverNet
$IPTABLES -A FORWARD -o $EXT -p TCP --dport 4661:4662 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 9079 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --sport 9079 -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p UDP --dport 9079 -j ACCEPT
$IPTABLES -A FORWARD -o $INT -p UDP --dport 9079 -j ACCEPT

##### eDonkey2000
$IPTABLES -A FORWARD -o $EXT -p TCP --dport 4661:4662 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 4665:4667 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 4667 -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p TCP --sport 4662 -j ACCEPT

##### WinMX
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 7729:7734 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 6699 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --sport 6257 -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p UDP --sport 6257 --dport 6257 -j ACCEPT


####emule
$IPTABLES -I FORWARD 1 -p tcp --dport 4242:6667 -j ACCEPT
$IPTABLES -I FORWARD 1 -p tcp --sport 4242:6667 -j ACCEPT
$IPTABLES -t nat -I PREROUTING 1 -p tcp -s ! 192.168.0.0 --dport 4242:6667 -j DNAT --to 192.168.0.0
$IPTABLES -t nat -I PREROUTING 1 -p tcp -s ! 192.168.0.0 --sport 4242:6667 -j DNAT --to 192.168.0.0
$IPTABLES -I FORWARD 1 -p udp --dport 4242:6667 -j ACCEPT
$IPTABLES -I FORWARD 1 -p udp --sport 4242:6667 -j ACCEPT
$IPTABLES -t nat -I PREROUTING 1 -p udp -s ! 192.168.0.0 --dport 4242:6667 -j DNAT --to 192.168.0.0
$IPTABLES -t nat -I PREROUTING 1 -p udp -s ! 192.168.0.0 --sport 4242:6667 -j DNAT --to 192.168.0.0


#####Kazaa (nicht aktivieren!!!)
#$IPTABLES -A OUTPUT -o $EXT -p TCP -s $INTERN --dport 80;8080;8000 -j DROP
#$IPTABLES -A OUTPUT -o $EXT -p UDP -s $INTERN --dport 80;8080;8000 -j DROP
#$IPTABLES -A INPUT -i $EXT -p TCP -s $INTERN --dport 80;8080;8000 -j DROP
#$IPTABLES -A INPUT -i $EXT -p UDP -s $INTERN --dport 80;8080;8000 -j DROP

############################
# G A M E S ################
############################
# Jede Port-Freigabe bezieht sich (soweit erkennbar) auf genau _ein_ OnLine-Spiel.
# Ueberschneidungen sind deshalb moeglich.
# So koennen _Sie_ entscheiden, welches Spiel _Sie_ frei geben wollen.
#
# Und falls doch mal was nicht laeuft:
# Mittels "tail -f /var/log/messages" auf der Firewall koennen Sie sehen,
# welche Ports bzw. was z.Zt. geblockt wird/werden.
#
# Wichtig!!! Seien Sie ruhig etwas paranoid ;)
# Geben Sie nur das frei, was Sie unbedingt brauchen.
# Denken Sie daran: Sicherheit ist kein Zustand, sondern ein Prozess...

### GameSpy ####
# Vor der Version 1.0.9
# $IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 6667 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 28900 -j ACCEPT
# Ab der Vers. 1.0.9
# $IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 29900:29901 -j ACCEPT

### AllSeeingI ####
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 1716:1718 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 7777:7778 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 27243 -j ACCEPT

### Teamsound ####
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 17535 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 40000 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 40012 -j ACCEPT

### Army Ops ####
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 8777 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 20045 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP --dport 27900 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP --dport 28900 -j ACCEPT

### MOH ###
# MOH braucht GameSpy
# $IPTABLES -A INPUT -i $EXT -p UDP --sport 13139 --dport 13139 -j ACCEPT
# $IPTABLES -A INPUT -i $INT -p UDP --sport 13139 --dport 13139 -j ACCEPT

### AvP2 ###
# $IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 7174 -j ACCEPT
# Spiele-Updates
# $IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 15104 -j ACCEPT
# Suche nach Internet-Spielen
# $IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 15200 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27888:27890 -j ACCEPT
# Spiele-Updates
# $IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 28900 -j ACCEPT

### RTCW ###
# $IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27950 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27960 -j ACCEPT

### CS ###
# Port 7002 (TCP) zwecks connect zum "WON"
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 7002 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27010 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27014:27016 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27018 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27020 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27025 -j ACCEPT
### zusaetzlich seit CS 1.4 Beta ####
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 5273 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP -s $INTERN --dport 2207 -j ACCEPT
### zusaetzlich seit CS 1.5
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27005 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP -s $INTERN --dport 27012 -j ACCEPT

### Tribes 2 ###
# Ports 6661:6679 fuer Chat, Foren und Mail in T2
# Ports 6667:6669 reichen DEFINITIV nicht
# Ports 15104 und 15200 fuer Login
# Auf den Ports 28000 und 28002 sind die T2-Server zu finden
# $IPTABLES -A FORWARD -o $EXT -p TCP --dport 6661:6679 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p TCP --dport 15104 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p TCP --dport 15200 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p UDP --dport 28000:28009 -j ACCEPT
# $IPTABLES -A FORWARD -o $EXT -p UDP --dport 28002 -j ACCEPT

### UT ####
# DNS-Aufloesung an UT-Server vom Spiel auf Client
$IPTABLES -A OUTPUT -p UDP --sport $p_high --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -m state --state NEW -p UDP --sport $p_high --dport domain -j ACCEPT
# UT-Server-Ports
$IPTABLES -A FORWARD -o $EXT -p UDP --dport 7777:7778 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p UDP --dport 27900 -j ACCEPT
$IPTABLES -A FORWARD -o $EXT -p TCP --dport 28900 -j ACCEPT

### Q3-Arena ###
# Abfrage der Arena-Server Port 27960 auf 27950
# Connect zu den Servern von Port 27950 bis 27970 (u.a.)
$IPTABLES -A FORWARD -o $EXT -p UDP --sport 27960 --dport 27950:27970 -j ACCEPT

##############
# Games-Ende #
##############

#ident (Port 113)
$IPTABLES -I INPUT -p TCP --dport 113 -j REJECT --reject-with tcp-reset
$IPTABLES -I OUTPUT -p TCP --dport 113 -j REJECT --reject-with tcp-reset

$IPTABLES -A FORWARD -i $EXT -p TCP --dport auth --syn -j DROP
$IPTABLES -A INPUT -p TCP --dport auth --syn -j DROP

# Nur gueltige Internet-Adressen zulassen
$IPTABLES -A FORWARD -i $EXT -s 192.0.0.0/24 -j DROP
$IPTABLES -A FORWARD -i $EXT -s 172.16.0.0/12 -j DROP
$IPTABLES -A FORWARD -i $EXT -s 10.0.0.0/8 -j DROP
# Es gibt noch mehr (IANA), das sind aber die klassischen

echo "----------- Firewall erfolgreich gestartet--------------"

#Rest sperren und loggen
$IPTABLES -A INPUT -j my_drop
$IPTABLES -A FORWARD -j my_drop
$IPTABLES -A OUTPUT -j my_drop

IP-Adressen sind gefaket

cu
dramesis
__________
[url=http://www.dramesis.de][img]http://home.arcor.de/dramesis/pics/logo.jpg[/img][/url]
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1