|
|
|
|
[linux] Iptables-Script incl. funktionierendem Shaper |
Black Star
Der Pate [Admin]
Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
|
|
[linux] Iptables-Script incl. funktionierendem Shaper |
|
Ich habe es endlich geschaft mein firewall-script soweit auszuarbeiten, dass es alle meine Anforderungen erfuellt:
* Hohe Flexibilitaet in der Konfiguration
* NAT
* Schutz vor Portscans (ueber tcp-flags) + blackhole
* Abschirmung extern und auch intern
* Sorgfaeltige ICMP Regeln
* Allerlei sonstige Schutzmechanismen (SYN Cookie Protection, Syn flood Protection,... )
* Schutz vor "P2P-Feinden" (FBI, RIAA, Gema,...) Achtung: diese Liste muss aktuell gehalten werden!
* Setzen von TOS-flags fuer bevorzugte Verbindungen (etwas pervers: auch fuer Online-Games *fg* )
* Default Policy auf allen Chains ist DROP
* Wichtung des Upstreams, um zu verhindern, dass bei Vollast das Internet einfriert
*....
Gerade an dem letzten Punkt hat mir viel gelegen und ich habe endlich einen deutlich spuerbaren Erfolg erzielt. (Nachdem ich rausgefunden habe, warum htb bei debian stable nicht funktioniert, und cbq einfach nur sch*ss* ist)
Nach mehreren Stunden edonkey unter Vollast kann ich immer noch gut surfen und laggfrei ueber TeamSpeak sprechen.
Ohne Shaper war das nicht moeglich.
Online-Spielen wird auch mit dem Shaper nicht zusammen mit edonkey in den normalen Einstellungen moeglich sein, dafuer ist P2P einfach zu krass, aber ich bin dankbar fuer jede Rueckmeldung.
Dieses Script ist fuer den Einsatz auf einem Router gedacht und fuer die Benutzung von P2P und Online-Spielen optimiert. Es enthaelt keinen ipv6 support und ist nicht unter 2.5er oder 2.6er Kerneln getestet (bis jetzt).
Feedback bitte schnell und ausfuehrlich an mich (per PN, Mail, IRC, hier im Thread,.... )
http://black-star.homedns.org/projects/firewall/ (Oder im Anhang dieses Postes)
aktuelle Version ist 3.1.6. Aber die aktuellste sollte auch immer die "beste" sein. Instabile oder Testversionen sind eindeutig mit -pre oder -testing gekennzeichnet.
TODO:
* DCC muss noch getestet werden (falls es ueberhaupt moeglich ist)
* Fine-Tuning am Shaper
* Moeglicher Ausbau fuer DMZ oder mehrere interne Interfaces.
Benoetigt werden:
* >=iptables-1.2.6
* >=linux-2.4.20 mit QoS und htb-Support (und dem ganzen anderen filter-Kram)
(<linux-2.4.20 ist auch moeglich, muss jedoch gepatched werden)
* iproute2 (debian-user sollen den Kopf des Scriptes lesen)
* rpcinfo
* perl
__________________
vescere bracis meis
|
|
25.06.2004 00:08 |
|
|
Sebischn
connection refused
Dabei seit: 27.07.2001
Beiträge: 120
Herkunft: /tmp/project_sebisch
n.c
|
|
hey ,echt nett, ein firewall script
. Ich hab grad keine Zeit aber werde das mal bei gelegenheit testen, hat bestimmt mühe gemacht das Teil
.
Mfg Sebischn
__________________ Erst einen Zug nehmen
,dann relexen
Always keep chilling. MFG Seb!!
|
|
28.06.2004 11:56 |
|
|
Champus
BlackBoarder
Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
|
|
Sorry, ich meinte nicht -W, sondern -A. Beschäftige mich erst seit neuerem mit IPTables, und wie ich oben geschrieben habe, war es ein Fehler von mir, da ich eine entscheidene Stelle übersehen habe.
Script ist echt super, muss ich sagen, werde es bei mir einsetzen.
__________________ CorvusCorone -> Champus
|
|
14.07.2004 14:01 |
|
|
|
|
|
|