BlackBoard » Computerecke » Betriebssysteme » Linux iptables-firewall by black star » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen iptables-firewall by black star
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
iptables-firewall by black star       Zum Anfang der Seite springen
mein erstes "grosses" firewall-script ist fertig.

eigentlich hab ich es geschrieben, um meinen edonkey zu tunen. wie manche vielleicht gemerkt haben, kriegt man beim donkey ne niedrige id verpasst, wenn die firewall scheisse ist. ähnliches gilt für winmx.

ich hab das ganze mal auf 200 zeilen gequetscht, ein paar standart-protections mit reingehauen, und erfolgreich getestet.

masquerading aus dem netz ins inet funzt auch auf den erlaubten ports. alle anderen verbindungsversuche werden in /var/log/messages aufgezeichnet. im zweifelsfalle mehr ports freigeben.

natürlich übernehm ich keine garantie für das teil.

features:
- prerouting for edonkey and winmx clients (needed for high ids resp. some other things)
- maximize-througoutput for ftp and http, to speed up these protocols
- protected from inside - only known ports are allowed, icmp is fully enabled
- protected from outside - only some services are allowed, no icmp (means no ping from outside!!)
- forwarding on known ports (both directions)
- very fast on ececute!
- quite nice!
- and last but not least - its from your favourite shell-script-coder - black star!

__________________
vescere bracis meis

Dieser Beitrag wurde 5 mal editiert, zum letzten Mal von Black Star: 06.09.2002 14:10.
16.07.2002 01:29 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
Light Light ist männlich
Aufsteiger


images/avatars/avatar-864.gif

Dabei seit: 27.01.2002
Beiträge: 43
      Zum Anfang der Seite springen
hi!

da kapier ich was nicht:
Zitat:

# ports inside allowed - to enable all use "all"
# use google to verify/find ports Augenzwinkern
# ALLOW_FORWARD_XXX will automaticly be appended
ALLOW_INSIDE_TCP="7 21 22 23 25 37 52 53 70 80 81 110 135 137 138 139 143 210 280 443 445 488\
546 547 563 591 647 777 1057 2490 2535 3128 5000"
ALLOW_INSIDE_UDP=$ALLOW_INSIDE_TCP

sind das ports, die auf der firewall ethernetseite geblockt werden? wenn ja, warum?

cu

__________________
Light

please visit and support:
http://www.againsttcpa.com
25.07.2002 06:54 Light ist offline Homepage von Light Beiträge von Light suchen
Mr.Stevens Mr.Stevens ist männlich
BlackBoarder


images/avatars/avatar-35.gif

Dabei seit: 10.01.2002
Beiträge: 873
Herkunft: Lower Oak Creek
      Zum Anfang der Seite springen
ich denk mal, dass das so gemeint ist

ALLOW_INSIDE_TCP
--> TCP Ports die von "innen" nach "aussen" freigeschaltet sind
... macht auch Sinn, denn sonst könntest du ja garnix machen.

ALLOW_INSIDE_UDP=$ALLOW_INSIDE_TCP
--> Hier werden die gleichen Ports für UDP nach "aussen" freigeschaltet

__________________
Jede lumpige Grippewelle erreicht doch heutzutage
mehr Leute als der Humor von Karl Valentin.
25.07.2002 07:48 Mr.Stevens ist offline E-Mail an Mr.Stevens senden Homepage von Mr.Stevens Beiträge von Mr.Stevens suchen
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

Themenstarter Thema begonnen von Black Star
      Zum Anfang der Seite springen
all right

das ist, wenn man nicht möchte, dass programmevon innen beliebige ports öffnen können. damit verhinderst du z.B. windows-updates, trojaner,....

wenn du das nicht möchtest (also von innen alles erlaubt sein soll) einfach ALLOW_INSIDE_TCP="all" angeben.

cu - black star8)

__________________
vescere bracis meis
25.07.2002 11:31 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
Andy Andy ist männlich
BlackBoarder


Dabei seit: 21.10.2001
Beiträge: 576
      Zum Anfang der Seite springen
Wo hast du denn das alles gelernt @ Black Star? Kannst du mir ein paar deiner Quellen Verraten? Ich würde sowas nämlich auch gerne lernen.

cya Lupus
25.07.2002 21:47 Andy ist offline Beiträge von Andy suchen
gandalf gandalf ist männlich
der mit ohne


images/avatars/avatar-1933.gif

Dabei seit: 06.01.2002
Beiträge: 2.099
Herkunft: Mittelerde
      Zum Anfang der Seite springen
Ich raffe es nicht im Detail, aber sieht gut aus.
Willst Du die komerzionell verwerten?
Könnte hinhauen, meine Achtung.

Gruss

gandalf

__________________
großes Grinsen Kein Mensch ist unnütz, er kann immer noch als schlechtes Vorbild dienen großes Grinsen

25.07.2002 22:40 gandalf ist offline E-Mail an gandalf senden Beiträge von gandalf suchen
Mr.Stevens Mr.Stevens ist männlich
BlackBoarder


images/avatars/avatar-35.gif

Dabei seit: 10.01.2002
Beiträge: 873
Herkunft: Lower Oak Creek
      Zum Anfang der Seite springen
Zitat:
Original von Lupus
Wo hast du denn das alles gelernt @ Black Star? Kannst du mir ein paar deiner Quellen Verraten? Ich würde sowas nämlich auch gerne lernen.



Ich sprech jetzt mal aus meiner Erfahrung mit Linux.

... learning by doing ist da angesagt Augenzwinkern

Du kannst Bücher wälzen soviel du willst (macht auch manchmal Sinn), aber was zählt ist die Praxis. Ich war selbst 2 Jahre auf Schule zwecks Systemadministration und Netzwerktechnik und hab dabei ne Menge Theorie gelernt. Dann bin ich ins Berufsleben eingestiegen und musste feststellen, das Theorie und Praxis oftmals weit auseinanderdriften ....

__________________
Jede lumpige Grippewelle erreicht doch heutzutage
mehr Leute als der Humor von Karl Valentin.
26.07.2002 08:45 Mr.Stevens ist offline E-Mail an Mr.Stevens senden Homepage von Mr.Stevens Beiträge von Mr.Stevens suchen
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

Themenstarter Thema begonnen von Black Star
      Zum Anfang der Seite springen
^^das geht nur mit praxis.

du musst dich in das problem verbeissen. du fängst bei null mit google an, und wühlst dich durchs netz.

es gibt hunderte vorlagen für iptables-firewalls. die beste, die mir gefiel, war die susefirewall2, die bei 7.3 dabei war.

und sobald man das konzept verstanden hat, ist das echt easy.

cu - black star8)

__________________
vescere bracis meis
08.08.2002 12:34 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
blacki705 blacki705 ist männlich
Exodus


images/avatars/avatar-1006.gif

Dabei seit: 03.03.2003
Beiträge: 73
      Zum Anfang der Seite springen
Und schon erfolgreich getestet ob es geht?Und wie lang hast dafür gebraucht?



Mfg blacki

__________________
Error Error Error Rumbel die Bumbel Tot ist der Kumpel Schaufel drauf Glück auf Error Error Error
25.08.2003 20:57 blacki705 ist offline E-Mail an blacki705 senden Homepage von blacki705 Beiträge von blacki705 suchen
gandalf gandalf ist männlich
der mit ohne


images/avatars/avatar-1933.gif

Dabei seit: 06.01.2002
Beiträge: 2.099
Herkunft: Mittelerde
      Zum Anfang der Seite springen
Nein, natürlich funtz das nicht, darum hat er es ja hier gepostet... großes Grinsen

Gruss

gandalf

__________________
großes Grinsen Kein Mensch ist unnütz, er kann immer noch als schlechtes Vorbild dienen großes Grinsen

25.08.2003 21:26 gandalf ist offline E-Mail an gandalf senden Beiträge von gandalf suchen
alamar alamar ist männlich
Julian Seifert


images/avatars/avatar-1178.gif

Dabei seit: 26.05.2003
Beiträge: 34
Herkunft: coburg
      Zum Anfang der Seite springen
www.netfilter.org

__________________
There are only 10 kind of people, the one who can do binary and the one who can`t.
26.08.2003 07:27 alamar ist offline E-Mail an alamar senden Homepage von alamar Beiträge von alamar suchen
PygoscelisPapua PygoscelisPapua ist männlich
BlackBoarder


images/avatars/avatar-2293.png

Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
      Zum Anfang der Seite springen
Zitat:
Original von blacki705
Und schon erfolgreich getestet ob es geht?



Zitat:
Original von Black Star
ich hab das ganze mal auf 200 zeilen gequetscht, ein paar standart-protections mit reingehauen, und erfolgreich getestet.



wer lesen kann is klar im vorteil ... Augen rollen


@Black Star: RESPEKT!!! werd die gleich mal in meiner linux kiste ausprobieren großes Grinsen [versteh zwar nur n viertel von all dem da aber das krieg ich shcon irgendwie hin *gg*] würd mich auch mal interessieren, wie lange du für das teil gebraucht hast... und vor allem, wie lange du dich schon mit linux beschäftigst Augenzwinkern

__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
12.03.2004 20:25 PygoscelisPapua ist offline Homepage von PygoscelisPapua Beiträge von PygoscelisPapua suchen
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

Themenstarter Thema begonnen von Black Star
      Zum Anfang der Seite springen
Meine jeweils neuste ist hier zu finden.
http://black-star.homedns.org/projects/firewall/

Habe auch angefangen mit einem chaper zu spielen. Allerdings bin ich noch nicht von der Wirksamkeit ueberzeugt.

__________________
vescere bracis meis
12.03.2004 22:32 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
BlackBoard » Computerecke » Betriebssysteme » Linux iptables-firewall by black star

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH