Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (10.07.2009, 14:19)
Quellcode |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
# Nur Folgeantworten zulassen /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #Default Policies setzen /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # Regeln /sbin/iptables -A FORWARD -s 192.168.40.0/24 -p udp --dport 53 -j ACCEPT /sbin/iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 80 -j ACCEPT /sbin/iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 443 -j ACCEPT # log 'n drop /sbin/iptables -A FORWARD -s 192.168.40.0/24 -p all -j LOG --log-prefix: "Droped packages 192.168.40.0: " /sbin/iptables -A FORWARD -s 192.168.40.0/24 -p all -j DROP |
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »BorneBjoern« (13.07.2009, 17:12)
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 13:33)
Quellcode |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 |
#!/bin/bash # Alle "Eingehenden(INPUT), Ausgehenden(OUTPUT) sowie Weiterleitungen(FORWARD)" werden gesperrt iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -P INPUT DROP #iptables -P OUTPUT DROP iptables -P FORWARD DROP #iptables -A OUTPUT -p tcp -s 192.168.0.0/16 -d 0.0.0.0/0 -j ACCEPT #iptables -A OUTPUT -p udp -s 192.168.0.0/16 -d 0.0.0.0/0 -j ACCEPT # Alle "Eingehenden und Ausgehenden Ports" werden auf dem DMZ(192.168.3.100) erlaubt iptables -A INPUT -p tcp --dport 1:65535 -d 192.168.3.100 -j ACCEPT iptables -A OUTPUT -p tcp --sport 1:65535 -s 192.168.3.100 -j ACCEPT iptables -A INPUT -p udp --dport 1:65535 -d 192.168.3.100 -j ACCEPT iptables -A OUTPUT -p udp --sport 1:65535 -s 192.168.3.100 -j ACCEPT iptables -A INPUT -p icmp -d 192.168.3.100 -s 192.168.3.1 -j ACCEPT iptables -A OUTPUT -p icmp -s 192.168.3.100 -d 192.168.3.1 -j ACCEPT # VPN-3 iptables -A INPUT -p tcp -d 192.168.3.100 -s 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.3.100 -d 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p udp -d 192.168.3.100 -s 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p udp -s 192.168.3.100 -d 192.168.3.0/24 -j ACCEPT # VPN-4 # Server 192.168.20.x iptables -A INPUT -p tcp -m iprange --dst-range 192.168.20.10-192.168.20.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.20.10-192.168.20.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.20.10-192.168.20.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.20.10-192.168.20.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p icmp -m iprange --src-range 192.168.20.10-192.168.20.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A INPUT -p icmp -m iprange --dst-range 192.168.20.10-192.168.20.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT # Thinclients 192.168.30.x iptables -A INPUT -p tcp -m iprange --dst-range 192.168.30.10-192.168.30.13 -d 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p tcp -m iprange --dst-range 192.168.30.10-192.168.30.13 -d 192.168.20.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.20.0/24 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.30.10-192.168.30.13 -s 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.30.10-192.168.30.13 -s 192.168.20.0/24 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.30.10-192.168.30.13 -d 192.168.20.0/24 -j ACCEPT iptables -A INPUT -p icmp -m iprange --dst-range 192.168.30.10-192.168.30.13 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p icmp -m iprange --src-range 192.168.30.10-192.168.30.13 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT # Rechner(Statisch) 192.168.40.x iptables -A INPUT -p tcp -m iprange --dst-range 192.168.40.10-192.168.40.20 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.40.10-192.168.40.20 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.40.10-192.168.40.20 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.40.10-192.168.40.20 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A FORWARD -s 192.168.40.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.40.0/24 -p tcp --dport 443 -j ACCEPT # Rechner(Dynamisch) 192.168.50.x iptables -A INPUT -p tcp -m iprange --dst-range 192.168.50.10-192.168.50.50 -d 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p tcp -m iprange --dst-range 192.168.50.10-192.168.50.50 -d 192.168.40.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.3.0/24 -j ACCEPT ptables -A OUTPUT -p tcp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.40.0/24 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.50.10-192.168.50.50 -s 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.50.10-192.168.50.50 -s 192.168.40.0/24 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.50.10-192.168.50.50 -d 192.168.40.0/24 -j ACCEPT iptables -A INPUT -p icmp -m iprange --dst-range 192.168.50.10-192.168.50.50 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p icmp -m iprange --src-range 192.168.50.10-192.168.50.50 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT # Multimedia 192.168.60.x iptables -A INPUT -p tcp -m iprange --dst-range 192.168.60.10-192.168.60.254 -d 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p tcp -m iprange --dst-range 192.168.60.10-192.168.60.254 -d 192.168.40.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.40.0/24 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.60.10-192.168.60.254 -s 192.168.3.0/24 -j ACCEPT iptables -A INPUT -p udp -m iprange --dst-range 192.168.60.10-192.168.60.254 -s 192.168.40.0/24 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.3.0/24 -j ACCEPT iptables -A OUTPUT -p udp -m iprange --src-range 192.168.60.10-192.168.60.254 -d 192.168.40.0/24 -j ACCEPT iptables -A INPUT -p icmp -m iprange --dst-range 192.168.60.10-192.168.60.254 --src-range 192.168.3.1-192.168.60.254 -j ACCEPT iptables -A OUTPUT -p icmp -m iprange --src-range 192.168.60.10-192.168.60.254 --dst-range 192.168.3.1-192.168.60.254 -j ACCEPT # Roting DMZ iptables -A INPUT -p tcp -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT iptables -A OUTPUT -p tcp -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT iptables -A INPUT -p udp -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT iptables -A OUTPUT -p udp -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT iptables -A INPUT -p icmp -d 192.168.0.0/16 -s 192.168.0.0/16 -j REJECT iptables -A OUTPUT -p icmp -s 192.168.0.0/16 -d 192.168.0.0/16 -j REJECT #iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.3.100 #iptables -t nat -A POSTROUTING -p tcp -o eth0 --dport 80 -j MASQUERADE |
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 17:23)
Benutzerinformationen überspringen
Prof. Dr. Schlaumeier
Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (13.07.2009, 17:21)
Benutzerinformationen überspringen
Prof. Dr. Schlaumeier
Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 17:38)
Quellcode |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 |
eth0 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.3.100 Bcast:192.168.254.255 Maske:255.255.255.0 inet6-Adresse: fe80::216:3eff:fe78:f011/64 Gültigkeitsbereich:Verbind ung UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 RX packets:2464 errors:0 dropped:0 overruns:0 frame:0 TX packets:1395 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX bytes:217668 (212.5 KiB) TX bytes:570018 (556.6 KiB) Interrupt:32 Basisadresse:0xc000 eth0:3 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.3.14 Bcast:192.168.3.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 Interrupt:32 Basisadresse:0xc000 eth0:20 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.20.1 Bcast:192.168.20.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 Interrupt:32 Basisadresse:0xc000 eth0:30 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.30.14 Bcast:192.168.30.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 Interrupt:32 Basisadresse:0xc000 eth0:40 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.40.1 Bcast:192.168.40.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 Interrupt:32 Basisadresse:0xc000 eth0:50 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.50.1 Bcast:192.168.50.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 Interrupt:32 Basisadresse:0xc000 eth0:60 Link encap:Ethernet Hardware Adresse 00:16:3e:78:f0:11 inet Adresse:192.168.60.1 Bcast:192.168.60.255 Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 Interrupt:32 Basisadresse:0xc000 |
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Rayback« (13.07.2009, 17:49)
was soll ich / jeder andere damit anfangen? Geht nicht ist keine Fehlerbeschreibung. Was geht nicht? Wie ist die Fehlermeldeung.... etc. Bitte ein klein wenig genauer!Zitat
mit "route add" aber irgendwie geht das nicht.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »BorneBjoern« (13.07.2009, 18:03)
Benutzerinformationen überspringen
Prof. Dr. Schlaumeier
Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)
Zitat
Original von Rayback
Ich will die Firewall des Routers aus machen so dass alles erstmal durchgelassen wird. Nun soll mein DMZ entscheiden was damit passieren soll das ist alles.