BlackBoard » Design, Programmierung & Entwicklung » Projekte » [linux] Iptables-Script incl. funktionierendem Shaper » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen [linux] Iptables-Script incl. funktionierendem Shaper
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
[linux] Iptables-Script incl. funktionierendem Shaper       Zum Anfang der Seite springen
Ich habe es endlich geschaft mein firewall-script soweit auszuarbeiten, dass es alle meine Anforderungen erfuellt:

* Hohe Flexibilitaet in der Konfiguration
* NAT
* Schutz vor Portscans (ueber tcp-flags) + blackhole
* Abschirmung extern und auch intern
* Sorgfaeltige ICMP Regeln
* Allerlei sonstige Schutzmechanismen (SYN Cookie Protection, Syn flood Protection,... )
* Schutz vor "P2P-Feinden" (FBI, RIAA, Gema,...) Achtung: diese Liste muss aktuell gehalten werden!
* Setzen von TOS-flags fuer bevorzugte Verbindungen (etwas pervers: auch fuer Online-Games *fg* )
* Default Policy auf allen Chains ist DROP
* Wichtung des Upstreams, um zu verhindern, dass bei Vollast das Internet einfriert
*....

Gerade an dem letzten Punkt hat mir viel gelegen und ich habe endlich einen deutlich spuerbaren Erfolg erzielt. (Nachdem ich rausgefunden habe, warum htb bei debian stable nicht funktioniert, und cbq einfach nur sch*ss* ist)
Nach mehreren Stunden edonkey unter Vollast kann ich immer noch gut surfen und laggfrei ueber TeamSpeak sprechen.
Ohne Shaper war das nicht moeglich.

Online-Spielen wird auch mit dem Shaper nicht zusammen mit edonkey in den normalen Einstellungen moeglich sein, dafuer ist P2P einfach zu krass, aber ich bin dankbar fuer jede Rueckmeldung.

Dieses Script ist fuer den Einsatz auf einem Router gedacht und fuer die Benutzung von P2P und Online-Spielen optimiert. Es enthaelt keinen ipv6 support und ist nicht unter 2.5er oder 2.6er Kerneln getestet (bis jetzt).

Feedback bitte schnell und ausfuehrlich an mich (per PN, Mail, IRC, hier im Thread,.... )

http://black-star.homedns.org/projects/firewall/ (Oder im Anhang dieses Postes)
aktuelle Version ist 3.1.6. Aber die aktuellste sollte auch immer die "beste" sein. Instabile oder Testversionen sind eindeutig mit -pre oder -testing gekennzeichnet.

TODO:
* DCC muss noch getestet werden (falls es ueberhaupt moeglich ist)
* Fine-Tuning am Shaper
* Moeglicher Ausbau fuer DMZ oder mehrere interne Interfaces.

Benoetigt werden:
* >=iptables-1.2.6
* >=linux-2.4.20 mit QoS und htb-Support (und dem ganzen anderen filter-Kram)
(<linux-2.4.20 ist auch moeglich, muss jedoch gepatched werden)
* iproute2 (debian-user sollen den Kopf des Scriptes lesen)
* rpcinfo
* perl

Dateianhang:
unknown firewall-3.2.0.gz (8,26 KB, 3 mal heruntergeladen)


__________________
vescere bracis meis
25.06.2004 00:08 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
Sebischn Sebischn ist männlich
connection refused


Dabei seit: 27.07.2001
Beiträge: 120
Herkunft: /tmp/project_sebisch n.c
      Zum Anfang der Seite springen
hey ,echt nett, ein firewall script smile . Ich hab grad keine Zeit aber werde das mal bei gelegenheit testen, hat bestimmt mühe gemacht das Teil Augenzwinkern .

Mfg Sebischn

__________________
Erst einen Zug nehmen rotes Gesicht ,dann relexen Freude
Always keep chilling. MFG Seb!! Zunge raus
28.06.2004 11:56 Sebischn ist offline Beiträge von Sebischn suchen
Champus Champus ist männlich
BlackBoarder


images/avatars/avatar-2272.png

Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
      Zum Anfang der Seite springen
Kleine Info:
ipt "-W check-flags" sollte besser sein als wenn du ein -N Flag benutzt.

Edit:
Kleine Korrigierung, alles ok soweit smile

__________________
CorvusCorone -> Champus

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Champus: 14.07.2004 10:08.
14.07.2004 10:06 Champus ist offline Homepage von Champus Beiträge von Champus suchen
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

Themenstarter Thema begonnen von Black Star
      Zum Anfang der Seite springen
rimda: wo ist denn der Fehler?
Hab kein -W in der firewall gefunden.
Ausserdem wuerde das Script mit einem unbekannten Flag auch nicht durchlaufen.

__________________
vescere bracis meis
14.07.2004 12:30 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
Champus Champus ist männlich
BlackBoarder


images/avatars/avatar-2272.png

Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
      Zum Anfang der Seite springen
Sorry, ich meinte nicht -W, sondern -A. Beschäftige mich erst seit neuerem mit IPTables, und wie ich oben geschrieben habe, war es ein Fehler von mir, da ich eine entscheidene Stelle übersehen habe.

Script ist echt super, muss ich sagen, werde es bei mir einsetzen.

__________________
CorvusCorone -> Champus
14.07.2004 14:01 Champus ist offline Homepage von Champus Beiträge von Champus suchen
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
BlackBoard » Design, Programmierung & Entwicklung » Projekte » [linux] Iptables-Script incl. funktionierendem Shaper

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH