bin absoluter newbie in sachen iptables. habe mir da jetzt was zusammengebastelt, weiss aber nicht ob ich vielleicht einen krassen denkfehler drin hab. vielleicht koennte sich das script mal jemand ansehen und posten was er denkt. das script ist dokumentiert.
architektur: kleines netzwerk ueber diesen firewallrechner per isdn mit dem internet verbunden. 2 interfaces eth0 zeigt in lokale netz und ippp0 fuer einwahl per isdn
vielen dank schon mal cheery
code: case "$1" in start) echo "Starting firewall..."
bin absoluter newbie in sachen iptables.
habe mir da jetzt was zusammengebastelt, weiss aber nicht ob ich vielleicht einen krassen denkfehler drin hab. vielleicht koennte sich das script mal jemand ansehen und posten was er denkt. das script ist dokumentiert.
architektur: kleines netzwerk ueber diesen firewallrechner per isdn mit dem internet verbunden. 2 interfaces eth0 zeigt in lokale netz und ippp0 fuer einwahl per isdn
vielen dank schon mal
cheery
code:
case "$1" in
start)
echo "Starting firewall..."
# iptables reset
# akzeptiere alles
$IP_TABLES -P INPUT ACCEPT
$IP_TABLES -P OUTPUT ACCEPT
$IP_TABLES -P FORWARD ACCEPT
$IP_TABLES -P POSTROUTING ACCEPT -t nat
$IP_TABLES -P PREROUTING ACCEPT -t nat
$IP_TABLES -P OUTPUT ACCEPT -t nat
# loesche alle regeln
$IP_TABLES -F
$IP_TABLES -F -t nat
# loesche alle user-definierten regeln
$IP_TABLES -X
# firewall vorbereitung
# module fuer das merken vorhandener verbindungen durch den kernel
# werden geladen
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# neue regel namens WALL anlegen
$IP_TABLES -N wall
# akzeptiere alle packete mit verbindungsstatus ESTABLISHED und
# RELATED
$IP_TABLES -A wall -m state --state ESTABLISHED,RELATED -j ACCEPT
# erlaubt alle verbindungen die NICHT ueber ippp* initiiert
# wurden
$IP_TABLES -A wall -m state --state NEW -i ! ippp+ -j ACCEPT
# erlaubt alle ftp-verbindungen ueber ippp*
$IP_TABLES -A wall -m state --state NEW,ESTABLISHED,RELATED -i ippp+ -p tcp --dport 20:21 -j ACCEPT
# loesche alle packete die nicht durch eine andere regel
# erlaubt sind
$IP_TABLES -A wall -j DROP
# benutze regeln fuer INPUT- und FORWARD-Kette
$IP_TABLES -A INPUT -j wall
$IP_TABLES -A FORWARD -j wall
;;
(...)