Søg
Avatar billede jonas82 Nybegynder
15. august 2003 - 23:31 Der er 12 kommentarer og
1 løsning

iptables firewall

Hej!

Jeg vil gerne benytte iptables som firewall, men kan ikke få det til at virke som jeg vil :P

1) Jeg vil som udgangspunkt lukke for alt internet trafik.

2) Der skal være helt åbent for LAN 10.0.0.x

3) Følgende porte skal være åbne for internettet: 21, 22, 80 tcp, 27015 udp.

Jeg er helt grøn i iptables, så svarene må gerne være derefter. :)
Avatar billede lap Nybegynder
15. august 2003 - 23:34 #1
jeg bruger selv scriptet herfra (http://monmotha.mplug.org/firewall/index.php), men det er ikke helt for newbie.

Brug http://iptables.1go.dk til at lave et script til dig
Avatar billede jonas82 Nybegynder
15. august 2003 - 23:56 #2
Jeg prøvede at lave det med iptables.1go.dk

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth0'
WAN_IP='min eksterne ip'
WAN_NIC='eth0'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p udp --dport 27015

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Jeg kan ikke få det eksekveret, så jeg ved ikke om det er rigtigt ;)
Jeg har lagt det i en fil (init_iptables), som jeg kører med ./init_iptables :

Jonas2:~# ./init_iptables
: bad interpreter: No such file or directory
Jonas2:~#

Så prøvede jeg bash init_iptables :

Jonas2:~# bash init_iptables
: command not found
: command not found
: No such file or directoryt/ipv4/ip_forward
: command not found
: command not found
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp
: command not found
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
: command not found
iptables: Bad policy name
iptables: Bad policy name
iptables: Bad policy name
: command not found
' specified.2.8: invalid TCP port/service `80
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.8: invalid TCP port/service `21
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.8: invalid TCP port/service `22
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.8: invalid UDP port/service `27015
Try `iptables -h' or 'iptables --help' for more information.
: command not found
'ptables v1.2.8: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
: command not found
: command not found
: No such file or directoryt/ipv4/ip_forward
: command not found
: command not found
: command not found
: command not found
Jonas2:~#

Jeg bruger debian kernel 2.4.21
Avatar billede lap Nybegynder
15. august 2003 - 23:58 #3
du har vist brugt dos/samba - din fil er ikke rigtig på linux.

Brug en terminal emulering og paste - så den er i orden.
Avatar billede jonas82 Nybegynder
16. august 2003 - 00:10 #4
Jep jeg havde lavet filen på windows, det virkede at oprette den med nano.

Jonas2:/usr# iptables -L
Chain INPUT (policy DROP)
target    prot opt source              destination       
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:www
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ftp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ssh
ACCEPT    udp  --  anywhere            anywhere          udp dpt:27015
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination       

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination       
Jonas2:/usr#

Det var vist et skridt i den rigtige retning. Tak :)
Hvordan får jeg den så til at acceptere alt fra det lokale LAN 10.0.0.x ?
Avatar billede lap Nybegynder
16. august 2003 - 00:14 #5
Alt skal accepteres fra lan ? betyder det, at 10.x.x.x skal kunne komme i kontakt med alt på inderside af firewall?

Det plejer at være ok?
Avatar billede jonas82 Nybegynder
16. august 2003 - 00:17 #6
Ja, det er det jeg mener.
Avatar billede lap Nybegynder
16. august 2003 - 00:20 #7
virker det som det skal? takker for points
Avatar billede jonas82 Nybegynder
16. august 2003 - 00:24 #8
Jeg har ikke lige fået testet det hele, men der er i hvert fald åbent for ssh port 22, og lukket for ping.

Men det ville nu være rart at få det med LAN til at virke, hvis du forstod hvad jeg mente?

Jeg vil gerne kunne teste diverse programmer på serveren, som jeg så kan afprøve over LAN, uden brok med firewall.
Avatar billede lap Nybegynder
16. august 2003 - 00:25 #9
nej, jeg forstår ikke hvad du mener??
Avatar billede jonas82 Nybegynder
16. august 2003 - 00:33 #10
Måske noget i retningen af:

iptables -A INPUT -s 10.0.0.1/8 -j ACCEPT
Avatar billede lap Nybegynder
16. august 2003 - 00:39 #11
Ja, det ville jeg prøve da det ser fornuftigt ud
Avatar billede jonas82 Nybegynder
16. august 2003 - 00:44 #12
Takker for din hjælp! - Nu har jeg i hvert fald noget at rode videre med :)
Avatar billede lap Nybegynder
16. august 2003 - 00:46 #13
velbekomme - ellers vender du tilbage - det andet script jeg henviste til - da er der i hvert fald åbent for alle porte fra inderside til firewall.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kun read only adgang til filer FTP Server på Ubuntu Server Af Strawberry i Linux 6 18/03/202619:27 24/03/202613:16
PIHOLE Af dcedata1977 i Linux 6 14/03/202620:13 22/03/202615:06
SDKORT / SSD Af dcedata1977 i Linux 5 13/03/202612:06 15/03/202614:52
Gøre Billeder og Tegninger større (Linux Mint) Af Ikke-ekspert i Linux 8 07/03/202621:10 09/03/202601:11
Netværksadgang for flere brugere til samme filer på Ubuntu Server Af Strawberry i Linux 2 27/02/202611:38 27/02/202620:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »