Søg
Avatar billede the_email Nybegynder
11. januar 2004 - 17:39 Der er 2 kommentarer og
1 løsning

IPtables på Debian 2.4 - blokere den for indgående trafik?

Hej.

Jeg har gennem mit antennelaug fået en fast offentlig IP som vha. NAT 1:1 bliver til en fast privat IP som min Linux-server har.
I Linux-serveren sidder der to netkort så den altså fungere som router for de andre maskiner på nettet. Derfor skal der være en firewall i den, så de andre er sikret.

Jeg benytter derfor følgende script når maskinen starter:

#!/bin/sh

INTIP=192.168.1.1/24
EXTIP=10.3.36.44

# tillad forwarding af pakker
echo "1" > /proc/sys/net/ipv4/ip_forward

# luk al indgaaende som standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# kaederne bliver lige tOmt, saa man kan kOre scriptet igen uden problemer
iptables -F
iptables -t nat -F

# lav en ny kaede
iptables -N block

# tillad alt lokal trafik
iptables -A INPUT -i lo -j ACCEPT

# vi tillader trafik paa forbindelser, der er blevet oprettet
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# og vi tillader nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i eth0 -j ACCEPT

# aktiver source nat
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -d "!" 192.168.1.1/24 -j SNAT --to $EXTIP

# tillad adgang til udvalgte services udefra
iptables -A INPUT -p tcp -d $EXTIP --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $EXTIP --dport ircd -j ACCEPT
iptables -A INPUT -p tcp -d $EXTIP --dport 80 -j ACCEPT

# spaer for adgang til visse services
iptables -A INPUT -p tcp -d $INTIP --dport smtp -j DROP
iptables -A INPUT -p udp -d $INTIP --dport syslog -j DROP
iptables -A INPUT -p tcp -d $INTIP --dport swat -j DROP
iptables -A INPUT -p tcp -d $INTIP --dport printer -j DROP

# blockkaeden kobles paa INPUT og FORWARD kaederne
# Det betyder at der er adgang til alt indefra (paa naer det, der blev
# droppet lige fOr, og til ALT udaf, men ingenting udefra
iptables -A INPUT -j block
iptables -A FORWARD -j block

# og derudover logger vi alt, der prOver at blive forwarded
# med max 1 pr sek og burst paa 3
iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG \
--log-prefix "FORWARD: " --log-ip-options --log-tcp-options

# saet Type Of Service til lav forsinkelse for telnet/ssh
iptables -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos 0x10
iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos 0x10

# saet Type Of Service til high throughput for FTP
iptables -t mangle -A PREROUTING -p tcp --dport ftp -j TOS --set-tos 0x08

Mit problem er at mennesker udefra hverken kan se serveren ved bare at gå ind på den fast offentlige IP eller pinge den.

Skal der redigeres noget i min IPtables eller ligger fejlen måske hos min udbyder?

TheEmail
Avatar billede the_email Nybegynder
11. januar 2004 - 17:41 #1
Netkortet til intranettet hedder eth0 og har IP 192.168.1.1 og det ud af til hedder eth1 og har IP 10.3.36.44 som bliver til 212.130.112.11 ved mit antennelaug vha. NAT 1:1
Avatar billede the_email Nybegynder
13. januar 2004 - 19:49 #2
Glem det - fejlen var at min udbyder ikke havde aktiveret min faste IP
Avatar billede the_email Nybegynder
13. januar 2004 - 19:50 #3
Hmm... Det er da nyt
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kun read only adgang til filer FTP Server på Ubuntu Server Af Strawberry i Linux 6 18/03/202619:27 24/03/202613:16
PIHOLE Af dcedata1977 i Linux 6 14/03/202620:13 22/03/202615:06
SDKORT / SSD Af dcedata1977 i Linux 5 13/03/202612:06 15/03/202614:52
Gøre Billeder og Tegninger større (Linux Mint) Af Ikke-ekspert i Linux 8 07/03/202621:10 09/03/202601:11
Netværksadgang for flere brugere til samme filer på Ubuntu Server Af Strawberry i Linux 2 27/02/202611:38 27/02/202620:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 00:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
I går 19:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
White papers
Flere white papers »