opsætning af iptables på linuxbox med seperat router/firewall

Hvorfor vil du sætte det op når du har samme funktionalitet
i routeren.

Memindre du har brug for speciel sikkerhed så mener jeg sagtens du
kan nøjes med routeren.

ja, det kan der da være noget om, men af to årsager..

- jeg vil gerne lære noget mere om opsætning af en firewall
- vil gerne have begge dele til beskyttelse

I Redhat findes en firewall konfigurator hvor du kan opsætte dette. De fleste scripts/generatorer forventer at du har 2 netkort.

Jeg vil foreslå, at du genererer en firewall vha. http://iptables.1go.dk og bruger den til inspiration - det er nemt læseligt og lige til at arbejde videre med.

jeg har skam kigget på denne side og jeg er lidt i tvivl om udfyldelse af felterne. Min linux boks skal jo ikke være firewall for mit netværk, det har jeg min router til. Så hvis jeg ikke udfylder nogen felter ud over "basic information" så får jeg følgende info :

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth0'
WAN_IP='62.107.3.38'
WAN_NIC='eth0'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Så er spørgsmålet om jeg har brug for dette og er det rigtigt ?

Du skal forestille dig, at du kun har en yderside, så hvis du nu bruger følgende i stedet for. Jeg har kommenteret en række linier ud med ## - og derudover har jeg lavet en ny sektion - du glemte at åbne indgående services:

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
##echo 0 > /proc/sys/net/ipv4/ip_forward

##LAN_IP_NET='192.168.0.1/24'
##LAN_NIC='eth0'
WAN_IP='62.107.3.38'
WAN_NIC='eth0'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
##iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
##iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
##iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 5901

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
##echo 1 > /proc/sys/net/ipv4/ip_forward

Det vil sige at jeg tilføjer nedenstående information :
#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

WAN_IP='62.107.3.38'
WAN_NIC='eth0'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 5901

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-----------------------------

hvilken path skal jeg "stå" i for at kunne afvikle scriptet ?

/sbin/sysconfig/  ?????

jeg skal vel logge ind som root ?

ok, du er root og gemmer scriptet som /root/iptables.sh - herefter chmod 755 /root/iptables.sh (så kan det køres).

Så starter du scriptet (/root/iptables.sh) - så er firewall blevet aktiv - og herefter gemmer du konfigurationen med "service iptables save" - så virker det også efter boot.

hmm, når jeg starter scriptet får jeg bare at vide : iptables : command not found
Det gør jeg på alle linjer hvor "iptables" står.....

prøv lige: echo $PATH - du mangler da vist noget....

min path er:
/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin

så er filen formentlig lagt over på linux vha. samba - iptables findes i /sbin - så derfor skal det virke.

Brug putty eller lignende til at flytte fra windows til linux.

nej, filen er dannet i linux og gemt med en tekst editor.

prøv i en prompt at skrive iptables -L
virker det?

ja det virker

skal skal scriptet jo også virke - prøv lige fra en prompt igen.

så virkede det sgu, det har nok været en fejl40 før, takker for hjælpen :-)

velbekomme :-)