iptables brandväggs problem

Trädvy Permalänk
Medlem
Registrerad
Okt 2001

iptables brandväggs problem

Hej, har haft lite små tråkigt idag och tänkte sätta upp en ny fw då jag gick miste av min förra konfig i en diskkrash.
Och det verkar som att jag har glömt något sedan sist, pga den öppnar inte portarna som jag vill.
Utan utifrån ses allt som om det vore stängt. Interna nätet kommer därimot ut utan problem. Så skulle uppskatta
om nån kunda ge mig lite tips över vad som kan vara fel

Övriga synpunket och förslag är givetvist också välkomna

Citat:

#!/bin/bash
ifconfig eth1 <externipaddres> netmask 255.255.255.0
ifconfig eth0 192.168.1.1 netmask 255.255.255.0
route add default gw 82.182.x.x

echo 1 > /proc/sys/net/ipv4/ip_forward

#Eth inställningar
INTIF="eth0"
EXTIF="eth1"
INTIP=`ifconfig $INTIF | grep "inet addr" | awk '{print $2}' | sed -e s/addr://`
EXTIP=`ifconfig $EXTIF | grep "inet addr" | awk '{print $2}' | sed -e s/addr://`

#Flusha gamla regler
/usr/sbin/iptables -F

#Nat funktion
iptables -F -t nat
iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

#Loopback regler
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Dropa allt från det externa interfacet
iptables -A INPUT -i $EXTIF -p all -j DROP

#Tillåt all trafik från interna IF
iptables -A INPUT -i $INTIF -p all -j ACCEPT

#Dropa alla packet porten utom från localhost
iptables -A INPUT -s 127.0.0.0/8 -p tcp --dport 111 -j ACCEPT #portmap

#Släpp in upprättade förbindelser
iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT

#Tillåta traceroutes/ping
iptables -A INPUT -i $EXTIF -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp --icmp-type echo-request -j ACCEPT

#Öppna portar:
iptables -A INPUT -p tcp -i $EXTIF --dport 21 -j ACCEPT #ftp
iptables -A INPUT -p tcp -i $EXTIF --dport 53 -j ACCEPT #dns
iptables -A INPUT -p udp -i $EXTIF --dport 53 -j ACCEPT #dns
iptables -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT #apache
iptables -A INPUT -p tcp -i $EXTIF --dport 113 -j ACCEPT #inetd
iptables -A INPUT -p tcp -i $EXTIF --dport 443 -j ACCEPT #https
iptables -A INPUT -p tcp -i $EXTIF --dport 953 -j ACCEPT #RNDC
iptables -A INPUT -p tcp -i $EXTIF --dport 1060 -j ACCEPT #sshd

#Portforwards:
#iptables -t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.2

#3inloggs försök sedan droppa i 60sec. <- taget från swecforum
iptables -A INPUT -p tcp -m state --state NEW --dport 1060 -m recent --update --seconds 60 --hitcount 3 --rttl -j DROP
iptables -A INPUT -p tcp -m state --state NEW --dport 1060 -m recent --set -j ACCEPT

citera om du vill få svar.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Mar 2003

Behöver du inte ha något dylikt i början?

# Set standard policies $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT ACCEPT

En port som rapporteras som stängd är vanligtvis öppen i brandväggen, men den mottagande datorn har inget som lyssnar på den porten vid tillfället, om du inte visste det redan.

Trädvy Permalänk
Medlem
Registrerad
Okt 2001

ok, tar och testar det då jag kommer hem. Vågar ju inte riskera att sitta en dag utan ssh/irc.
Hojtar till senare med resultat.

citera om du vill få svar.