View previous topic :: View next topic |
Author |
Message |
barthi Apprentice
Joined: 02 Mar 2003 Posts: 256
|
Posted: Fri Feb 08, 2008 6:10 pm Post subject: Probleme mit Firewall-Skript |
|
|
Hallo!
Ich habe irgendwie mein Iptables-Skript verzockt. könntet Ihr mal drüber schaun:
Vorne weg vielleicht noch eine Besonderheit. Das Linux-System läuft in einer VMWare als virtuelle Maschine.
Ich habe dort nur eine Netzwerkkarte eth0 definiert und die IP 192.168.1.200 vergeben.
Der Router über den ich ins Internet gehe, hat die IP 192.168.1.1. Ich habe dort den Linux-Rechner als DMZ-Host eingetragen.
Die Verbindung vom Linux-Rechner ins Internet klappt immer, nur die Clients kommen nicht ins Internet, wenn IPtables aktiviert ist.
Code: |
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -I INPUT 1 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p udp --dport bootps -i ! eth0 -j REJECT
iptables -A INPUT -p udp --dport domain -i ! eth0 -j REJECT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 4848 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -i eth0 -j ACCEPT
#CS:Source
iptables -A INPUT -p udp --dport 1200 -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 27000:27015 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 27030:27039 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 27015 -i eth0 -j ACCEPT
#iptables -t nat -A PREROUTING -p udp --dport 27015 -j DNAT --to 192.168.1.200:27015
iptables -A INPUT -p tcp -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p udp -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
#OpenVPN
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
VPN_DEV=tap0
#VPN Netzwerk
VPN_NET=10.8.0.0/24
#internes netzwerk
INT_DEV=eth0
#Leitet alles was per Port 445 kommt zum Internen Netz um, auf Port 445 darf auf dem Server nichts laufen
iptables -t nat -A PREROUTING -i $VPN_DEV -p tcp --dport 1194 -j DNAT --to 192.168.0.200
#Lässt alles in's VPN durch
iptables -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p tcp -j ACCEPT
iptables -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p udp -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
|
Wäre echt super, wenn Ihr mir helfen könntet.
Danke,
barthi |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Fri Feb 08, 2008 7:13 pm Post subject: |
|
|
1. Du hast INPUT und OUTPUT auf ACCEPT gestellt, daher sind die weiteren ACCEPT Rules hinfällig...
2. Welche Clients? In welchem Subnetz sitzen die? Ich gehe mal davon aus das die Clients auch aus 192.168.1.0/24 sind und diese 192.168.0.200 als default gw eingestellt haben.
3. Masquerading sollte eigentlich dein Router machen, daher weiss ich nicht ob das hier nötig ist (Eventuell doch wegen DMZ, keine Ahnung was da dein Router genau macht?)
Ich gehe mal davon aus das es die folgende Zeile ist:
Code: | iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP |
Diese dürfte den Rückweg vom Router zu den Clients unterdrücken. Diese einfach mal auf ACCEPT stellen. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|