:strip_icc():strip_exif()/u/8355/klein1.jpg?f=community)
Ik ben maar aan de iptables begonnen, maar het bevalt nog niet echt:
Mijn firewall script moet het volgende doen:
-Alle verkeer vanaf het netwerk (op eth1) op alle poorten doorlaten
-Alle verkeer vanaf het ineternet naar poort 22, 80, ftppoort, en passive ports (1024:65535) doorlaten (behalve een aantal binnen die range zie onder)
-Internetverkeer (www, irc ftp, ssh) vanaf de server zelf (dus waar het script opstaat) toelaten.
Tot nu toe doet hij dit:
-Hij laat (volgens mij) alles vanaf het netwerkdoor (goed)
-Vanaf internet laat hij alles op de juiste poorten door (goed)
-Vanaf de server kan ik niet
-pingen naar het internet,
-internetten
-irc'en
maar wel een ssh en ftp verbinding krijgen naar het internet
Ik zal eerst mijn huidige vuurmuur posten.
Waarom kan ik vanaf de server niet pingen en internetten naar buiten toe, maar kan ik wel ftpen en sshen. Ik kan wel weer pingen van af het netwerk naar het internet toe... (dus door de server heen).
Bovendien heb ik het id dat ik zaken dubbel doe... kan iemand orde scheppen?
Mijn firewall script moet het volgende doen:
-Alle verkeer vanaf het netwerk (op eth1) op alle poorten doorlaten
-Alle verkeer vanaf het ineternet naar poort 22, 80, ftppoort, en passive ports (1024:65535) doorlaten (behalve een aantal binnen die range zie onder)
-Internetverkeer (www, irc ftp, ssh) vanaf de server zelf (dus waar het script opstaat) toelaten.
Tot nu toe doet hij dit:
-Hij laat (volgens mij) alles vanaf het netwerkdoor (goed)
-Vanaf internet laat hij alles op de juiste poorten door (goed)
-Vanaf de server kan ik niet
-pingen naar het internet,
-internetten
-irc'en
maar wel een ssh en ftp verbinding krijgen naar het internet
Ik zal eerst mijn huidige vuurmuur posten.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
| #Set default chain policy
echo -n "Setting default chain policies..."
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo " Done!"
#Flush all chains
echo -n "Flushing chains..."
iptables -F
iptables -X
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
echo " Done!"
#Add custom chains
echo -n "Adding custom chains..."
iptables -N inet-in
iptables -N inet-out
echo " Done!"
#Set INPUT rules
echo -n "Setting rules for INPUT chain..."
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -j inet-in
echo " Done!"
#Set FORWARD rules
echo -n "Setting rules for FORWARD chain..."
modprobe iptable_nat
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.10.0/24 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
#Activate masquerade
echo -n "Activating masquerade..."
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo " Done!"
echo " Done!"
#Set OUTPUT rules
echo -n "Setting rules for OUTPUT chain..."
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -j DROP
echo " Done!"
iptables -A inet-in -p tcp -i eth1 -o eth1 --dport 138:139 -j ACCEPT
iptables -A inet-in -p tcp --dport "ftppoort" -j ACCEPT
iptables -A inet-in -p tcp --dport 20 -j ACCEPT
iptables -A inet-in -p tcp --dport 22 -j ACCEPT
iptables -A inet-in -p tcp --dport 80 -j ACCEPT
iptables -A inet-in -p tcp --dport 1024:65535 -j ACCEPT
iptables -A inet-in -p tcp --dport 0:19 -j DROP
iptables -A inet-in -p udp --dport 0:19 -j DROP
iptables -A inet-in -p tcp --dport 21 -j DROP
iptables -A inet-in -p tcp --dport 23 -j DROP
iptables -A inet-in -p tcp --dport 110 -j DROP
iptables -A inet-in -p tcp --dport 111 -j DROP
iptables -A inet-in -p tcp --dport 113 -j DROP
iptables -A inet-in -p udp --dport 137:138 -j DROP
iptables -A inet-in -p tcp --dport 139 -j DROP
iptables -A inet-in -p tcp --dport 143 -j DROP
iptables -A inet-in -p tcp --dport 443 -j DROP
iptables -A inet-in -p tcp --dport 445 -j DROP
iptables -A inet-in -p tcp --dport 515 -j DROP
iptables -A inet-in -p tcp --dport 1080 -j DROP
iptables -A inet-in -p tcp --dport 1214 -j DROP
iptables -A inet-in -p tcp --dport 5000 -j DROP
iptables -A inet-in -p tcp --dport 27374 -j DROP
iptables -A inet-in -p tcp --dport 31337 -j DROP
iptables -A inet-in -p udp --dport 31337 -j DROP |
Waarom kan ik vanaf de server niet pingen en internetten naar buiten toe, maar kan ik wel ftpen en sshen. Ik kan wel weer pingen van af het netwerk naar het internet toe... (dus door de server heen).
Bovendien heb ik het id dat ik zaken dubbel doe... kan iemand orde scheppen?
