hmmm Firewall

ej hvor er jeg smart glmet lige det Script

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth1'
WAN_IP='87.48.88.235'
WAN_NIC='eth0'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Eller.. det jeg gerne vil have er at den skal lukke alle porte og kun åben dem som jeg giver den lov til.. :D

Det er således den er ligenu.
iptables -P INPUT DROP
Sørger for at INPUT kædens standard politik er at kyle alle pakker som den ikke har en regel for væk. Dvs alle indkommende pakker hvor forbindelsen åbnes af en udefra bliver blokeret.

Bortset fra disse:
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

Du laver bare sådan en linje for hver enkelt port du vil have åbnet. Ligenu er 22, 25, 80 og 110 åben for forbindelser udefra hos dig.

TAK.. det var lige det jeg ville vide :D Det vil sige alle Andre porte end 22,25,80,110 er lukke...

jeps =)

jow.. hvis man vil lukke for en port så dem inde fra ikke kan gå udgemmen en PORT? hvad skal der så stå? :D

iptables -A OUTPUT -j DROP -p tcp --dport 80

lukker feks så ingen kan komme til port 80 (http bliver lukket)

Hmmm det der med at lukke port 80 virker ikke helt.... jeg kan stadig gå på nettet fra den anden com af? :S

I output kæden er standard ligenu at lade traffik flyde ud:
iptables -P OUTPUT ACCEPT

men den kan du jo ændre til DROP

ok prøver :D

selv om jeg både ændre

iptables -P OUTPUT ACCEPT til iptables -P OUTPUT DROP

og har iptables -A OUTPUT -j DROP -p tcp --dport 80 den inde os så kan jeg stadig suffe på nettet :S

du skal køre scriptet

ja.. med bash test.sh ikek sandt?

bare sådan her:
./test.sh

og så skriv iptables -L -n for at se om reglen er i kraft.

hvis jeg skriver ./test.sh så skriver den adgang nægtet

chmod 755 test.sh

ok. nu bliver det her underligt...

Jeg kan suffe på den com som står bag ved Firewall'en men ikke fra linuxBOXsen :S

så må du prøve at lægge reglerne over i forward kæden i stedet for output kæden.

iptables -F for at slette tidligere regler.

oki.. må jeg prøve på fredag da jeg skal til og afsted.. er inde og aftjerne værnepligt for tiden sååå... men jeg skriver hher inde fredag igen. :D

sys ikke det ser ud som om min firewall virker.. :S hmm skal jeg lige prøve at poste koden?

gør bare det