[SUSE] Iptables vraagie

download endoshield bij freshmeat, lees de README en verander de configfile naar je wensen. (heel erg simpel allemaal)

Zie dat je er al voor hebt gezorgd dat de clients de goede gateway krijgen...

In het simpelste geval, namelijk dat er NIETS word geblokkeerd en dus alle clients overal toegang toe krijgen, dan hoef je alleen maar IP Forwarding aan te zetten. Dit maakt van je servertje een router die in staat is om verkeer tussen beide ethernet interfaces te routeren.

Wil je wat meer beveiliging (geen verkeer van buiten naar binnen of het limiteren van waar de clients allemaal naar toe mogen), dan kun je een firewall als IPTABLES gaan gebruiken.

Wil je er voor zorgen dat de clients van een en het zelfde adres gebruik maken op het Internet (dus dat niet elke client met zijn eigen IP het net op gaat, wat eigenlijk het vaakste gebeurd), dan moet je ook zorgen dat je systeem aan NAT doet. NAT = Network Address Translation.

Voor meer info over IPTABLES kun je natuurlijk de HOWTO's opzoeken (vul bij http://www.google.com/linux de zoekwoorden "howto" en "iptables" in). Andere handige trefwoorden voor de bovenstaande search zijn "routing" en "NAT".

ip tables config:

*filter
:INPUT DROP [416:50577]
:FORWARD DROP [100:25176]
:OUTPUT ACCEPT [270264:27615886]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.80.0/255.255.255.0 -d 192.168.80.0/255.255.255.0 -p tcp -j ACCEPT
-A INPUT -i eth -p icmp -j ACCEPT
-A INPUT -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.80.0/255.255.255.0 -d 192.168.80.0/255.255.255.0 -i eth1 -p udp -m udp --dport 137:13
9 -j ACCEPT
-A INPUT -s 192.168.80.0/255.255.255.0 -d 192.168.80.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 139 -j
ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j LOG --log-level 6
-A FORWARD -s 192.168.80.0/255.255.255.0 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.80.0/255.255.255.0 -i eth0 -j ACCEPT
COMMIT

192.168.80.0 is trouwens mijn range, ff vervangen door jouw range. port 22 is voor SSH. en port 67,68 voor het gebruik van de DHCP server op mijn firewall.

als je ook nog de config van dhcpd wilt hebben hoor ik het wel.

Op dinsdag 26 februari 2002 21:19 schreef DaPoztMaster het volgende:
Eej Super !!
Hier kan ik zeker wat mee !! (ook tips van eerste 2 reactie's zijn super)

Als het niet teveel moeite is, zou je dan ook die DHCPD willen pasten ?

Alvast bedankt !

U vraagt wij pasten:

[dare@corellia dare]$ cat /etc/dhcpd.conf
server-identifier corellia;

subnet 80.56.177.0 netmask 255.255.255.0{
not authoritative;
}

subnet 192.168.80.0 netmask 255.255.255.0{
range 192.168.80.100 192.168.80.110;
default-lease-time 86400;
max-lease-time 90000;
option routers 192.168.80.30;
option subnet-mask 255.255.255.0;
option domain-name-servers 213.93.128.11,62.108.1.66;
option broadcast-address 192.168.80.255;
option ip-forwarding off;
option netbios-name-servers 192.168.80.30;
option netbios-dd-server 192.168.80.30;
option netbios-node-type 8;
}

http://www.pointman.org/

Hier kan je ook even kijken! Is een script voor het opzetten van een firewall.