[linux-l] Ip-tables
Webmaster at Miera.de
Webmaster at Miera.de
Mi Okt 22 15:15:58 CEST 2003
Hi Leute :-D
Ich bin gerade dabei ein Routing Script
um bauen. Ich komme aber leider nicht weiter.
Wenn ich das Script so starte, kann ich kein Ping auf einen Server machen.
Mein Internetgateway ist auf die ip: 192.168.0.1 gelegt.
Meine Adsl Verbindung wird über 192.168.1.1 aufgerufen...
Nachher möchte ich standartmäßig nur den ssh port offen
haben und den rest bei bedarf zuschalten können.
Vielleicht könnt ihr mir ja sagen was ich falsch mache...
Hier mein sctipt:
##########################################################
# IP-Tables Script #######################################
##########################################################
#/bin/sh
echo "Starting firewalling ..."
echo "........................"
##########################################################
# IP-Adresse bestimmen (nicht unbedingt notwendig) #######
##########################################################
IPADDR=$(/sbin/ifconfig |
/bin/grep P-t-P |
/usr/bin/cut -c 21-38 |
awk '{print $1}' ) # optain current IP address
###########################################################
# Variablen definieren ####################################
###########################################################
EXTERNAL_INTERFACE="eth1" # Internet connected interface
LOOPBACK_INTERFACE="lo" # or your local naming convention
LOCAL_INTERFACE_1="eth0" # internal LAN interface
LOCALNET_1="192.168.0.0/192.168.0.100" # whatever private range you have
ANYWHERE="0/0" # match any IP address
DHCP_SERVER="0/0"
NAMESERVER_1="192.168.0.1"
NAMESERVER_2="192.168.1.1"
echo "external interface $EXTERNAL_INTERFACE $IPADDR"
echo "local interface $LOCAL_INTERFACE_1 $LOCALNET_1"
SMTP_SERVER="0/0" # Your ISP mail gateway. Your relay.
IMAP_SERVER="0/0" # Your ISP mail gateway.
LOOPBACK="127.0.0.0/8" # reserved Loopback address range
PRIVPORTS="0-1023" # well known, privileged port range.
UNPRIVPORTS="1024-65535" # unprivileged port range.
#################################################################
# Alle Regeln aufheben ##########################################
#################################################################
iptables -F
iptables -F -t nat
iptables -F -t filter
#################################################################
# IP Forwarding aktivieren ######################################
#################################################################
echo 1> /proc/sys/net/ipv4/ip_forward
################################################################
# Unlimitierter Traffic am LOOPBACK ############################
################################################################
iptables -A INPUT -i $LOOPBACK_INTERFACE -j ACCEPT
iptables -A OUTPUT -o $LOOPBACK_INTERFACE -j ACCEPT
iptables -A INPUT -j ACCEPT -p all -s 192.168.1.0/24
iptables -A OUTPUT -j ACCEPT -p all -d 192.168.1.0/24
iptables -A INPUT -i $LOCAL_INTERFACE_1 -s $LOCALNET_1 -j ACCEPT
iptables -A OUTPUT -o $LOCAL_INTERFACE_1 -d $LOCALNET_1 -j ACCEPT
iptables -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE
iptables -A INPUT -j ACCEPT -p all -s 127.0.0.1/8
iptables -A OUTPUT -j ACCEPT -p all -d 127.0.0.1/8
###############################################################
# Traffic am Server ###########################################
###############################################################
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 113 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 443 -j ACCEPT
##########################################################
# (weiterleitungen emule etc)#####################
##########################################################
#Emule
iptables -A FORWARD -t filter -i ppp0 -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -t filter -i ppp0 -s 0/0 -p udp --dport 4672 -j ACCEPT
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j DNAT
--to-destination 192.168.0.10:4662
iptables -A PREROUTING -t nat -i ppp0 -p udp --dport 4672 -j DNAT
--to-destination 192.168.0.10:4672
#iptables -A INPUT -p udp -s 0/0 --dport 2302:2400 -j ACCEPT
#iptables -A INPUT -p udp -s 0/0 --dport 2300 -j ACCEPT
#iptables -A INPUT -p udp -s 0/0 --dport 6073 -j ACCEPT
#iptables -A FORWARD -p udp -m state --state ESTABLISHED,RELATED \
#-j ACCEPT
#iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 2302:2400 \
#-j DNAT --to-destination 192.168.0.1:2302-2400
#iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 2300 -j DNAT \
#--to-destination 192.168.0.1:2300
#iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 6073 -j DNAT \
#--to-destination 192.168.0.1:6073
#iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 2605:2615 -j \
#DNAT --to-destination 192.168.0.1:2605-2615
echo "done"
exit 0
-------
Danke
Chris
Mehr Informationen über die Mailingliste linux-l