BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Betriebssysteme (http://www.black-board.net/board.php?boardid=11)
--- Linux iptables-firewall by black star (http://www.black-board.net/thread.php?threadid=6384)

Geschrieben von Black Star am 16.07.2002 um 01:29:

  iptables-firewall by black star

mein erstes "grosses" firewall-script ist fertig.

eigentlich hab ich es geschrieben, um meinen edonkey zu tunen. wie manche vielleicht gemerkt haben, kriegt man beim donkey ne niedrige id verpasst, wenn die firewall scheisse ist. ähnliches gilt für winmx.

ich hab das ganze mal auf 200 zeilen gequetscht, ein paar standart-protections mit reingehauen, und erfolgreich getestet.

masquerading aus dem netz ins inet funzt auch auf den erlaubten ports. alle anderen verbindungsversuche werden in /var/log/messages aufgezeichnet. im zweifelsfalle mehr ports freigeben.

natürlich übernehm ich keine garantie für das teil.

features:
- prerouting for edonkey and winmx clients (needed for high ids resp. some other things)
- maximize-througoutput for ftp and http, to speed up these protocols
- protected from inside - only known ports are allowed, icmp is fully enabled
- protected from outside - only some services are allowed, no icmp (means no ping from outside!!)
- forwarding on known ports (both directions)
- very fast on ececute!
- quite nice!
- and last but not least - its from your favourite shell-script-coder - black star!


Geschrieben von Light am 25.07.2002 um 06:54:

 

hi!

da kapier ich was nicht:
Zitat:

# ports inside allowed - to enable all use "all"
# use google to verify/find ports Augenzwinkern
# ALLOW_FORWARD_XXX will automaticly be appended
ALLOW_INSIDE_TCP="7 21 22 23 25 37 52 53 70 80 81 110 135 137 138 139 143 210 280 443 445 488\
546 547 563 591 647 777 1057 2490 2535 3128 5000"
ALLOW_INSIDE_UDP=$ALLOW_INSIDE_TCP

sind das ports, die auf der firewall ethernetseite geblockt werden? wenn ja, warum?

cu


Geschrieben von Mr.Stevens am 25.07.2002 um 07:48:

 

ich denk mal, dass das so gemeint ist

ALLOW_INSIDE_TCP
--> TCP Ports die von "innen" nach "aussen" freigeschaltet sind
... macht auch Sinn, denn sonst könntest du ja garnix machen.

ALLOW_INSIDE_UDP=$ALLOW_INSIDE_TCP
--> Hier werden die gleichen Ports für UDP nach "aussen" freigeschaltet


Geschrieben von Black Star am 25.07.2002 um 11:31:

 

all right

das ist, wenn man nicht möchte, dass programmevon innen beliebige ports öffnen können. damit verhinderst du z.B. windows-updates, trojaner,....

wenn du das nicht möchtest (also von innen alles erlaubt sein soll) einfach ALLOW_INSIDE_TCP="all" angeben.

cu - black star8)


Geschrieben von Andy am 25.07.2002 um 21:47:

 

Wo hast du denn das alles gelernt @ Black Star? Kannst du mir ein paar deiner Quellen Verraten? Ich würde sowas nämlich auch gerne lernen.

cya Lupus


Geschrieben von gandalf am 25.07.2002 um 22:40:

 

Ich raffe es nicht im Detail, aber sieht gut aus.
Willst Du die komerzionell verwerten?
Könnte hinhauen, meine Achtung.

Gruss

gandalf


Geschrieben von Mr.Stevens am 26.07.2002 um 08:45:

 

Zitat:
Original von Lupus
Wo hast du denn das alles gelernt @ Black Star? Kannst du mir ein paar deiner Quellen Verraten? Ich würde sowas nämlich auch gerne lernen.



Ich sprech jetzt mal aus meiner Erfahrung mit Linux.

... learning by doing ist da angesagt Augenzwinkern

Du kannst Bücher wälzen soviel du willst (macht auch manchmal Sinn), aber was zählt ist die Praxis. Ich war selbst 2 Jahre auf Schule zwecks Systemadministration und Netzwerktechnik und hab dabei ne Menge Theorie gelernt. Dann bin ich ins Berufsleben eingestiegen und musste feststellen, das Theorie und Praxis oftmals weit auseinanderdriften ....


Geschrieben von Black Star am 08.08.2002 um 12:34:

 

^^das geht nur mit praxis.

du musst dich in das problem verbeissen. du fängst bei null mit google an, und wühlst dich durchs netz.

es gibt hunderte vorlagen für iptables-firewalls. die beste, die mir gefiel, war die susefirewall2, die bei 7.3 dabei war.

und sobald man das konzept verstanden hat, ist das echt easy.

cu - black star8)


Geschrieben von blacki705 am 25.08.2003 um 20:57:

 

Und schon erfolgreich getestet ob es geht?Und wie lang hast dafür gebraucht?



Mfg blacki


Geschrieben von gandalf am 25.08.2003 um 21:26:

 

Nein, natürlich funtz das nicht, darum hat er es ja hier gepostet... großes Grinsen

Gruss

gandalf


Geschrieben von alamar am 26.08.2003 um 07:27:

 

www.netfilter.org


Geschrieben von PygoscelisPapua am 12.03.2004 um 20:25:

 

Zitat:
Original von blacki705
Und schon erfolgreich getestet ob es geht?



Zitat:
Original von Black Star
ich hab das ganze mal auf 200 zeilen gequetscht, ein paar standart-protections mit reingehauen, und erfolgreich getestet.



wer lesen kann is klar im vorteil ... Augen rollen


@Black Star: RESPEKT!!! werd die gleich mal in meiner linux kiste ausprobieren großes Grinsen [versteh zwar nur n viertel von all dem da aber das krieg ich shcon irgendwie hin *gg*] würd mich auch mal interessieren, wie lange du für das teil gebraucht hast... und vor allem, wie lange du dich schon mit linux beschäftigst Augenzwinkern


Geschrieben von Black Star am 12.03.2004 um 22:32:

 

Meine jeweils neuste ist hier zu finden.
http://black-star.homedns.org/projects/firewall/

Habe auch angefangen mit einem chaper zu spielen. Allerdings bin ich noch nicht von der Wirksamkeit ueberzeugt.


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH