linux-l: Firewall und SSH Forwarding
Duncan Rubinger
duncan.rubinger at semanticedge.com
Di Nov 6 10:29:08 CET 2001
Hi Allerseits,
folgendes Problem, ich würde gerne eine Firewall so konfigurieren (mit
iptables), dass trotzdem Portforwarding unter SSH möglich ist. Der
User soll sich per SSH einloggen mit dem Forwarding
-L 8002:192.168.0.29:80
Hier mal Teile meiner bisherigen Bemühungen, die leider net so funzen
wie ich gerne hätte.
--- SNIP ---
# Modules
echo Modules
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
MYIP=62.169.3.89
IFACE=eth0
FW=/sbin/iptables
# Flush all
echo FLUSH ALL
$FW -F
# Close all
echo CLOSE ALL except FORWARD
$FW -P INPUT DROP
$FW -P OUTPUT DROP
$FW -P FORWARD ACCEPT
# Accept local
echo LOCAL accepted
$FW -A INPUT -j ACCEPT -i lo
$FW -A OUTPUT -j ACCEPT -o lo
# SSH/D allowed
echo SSH allowed
$FW -A INPUT -j ACCEPT -p tcp -d $MYIP --destination-port ssh
$FW -A OUTPUT -j ACCEPT -p tcp -s $MYIP --source-port ssh
$FW -A OUTPUT -j ACCEPT -p tcp --destination-port ssh
# ICMP - Dedicated by other local connections or to outside
echo ICMP-rest allowed
iptables -A INPUT -i $IFACE -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $IFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Hier kommt der Teil von dem ich denke es könnte gehen, tut aber net
# :-(
# Portforwarding ?
$FW -A INPUT -j ACCEPT -p tcp -d 192.168.0.29 -s 0/0 --destination-port http
$FW -A OUTPUT -j ACCEPT -p tcp -d 192.168.0.29 -s 0/0 --destination-port http
$FW -A INPUT -j ACCEPT -p udp -d 192.168.0.29 -s 0/0 --destination-port http
$FW -A OUTPUT -j ACCEPT -p udp -d 192.168.0.29 -s 0/0 --destination-port http
--- SNAP ---
Idealerweise würde ich das Ganze gerne auf Userlevel filtern können,
dazu kann man wohl die Option --uid-owner benutzen, was aber auch
nicht will ...
######### User Spezifisch #############
iptables -A OUTPUT -p udp --destination-port http -m owner --uid-owner duncan -d 192.168.0.29 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port http -m owner --uid-owner duncan -d 192.168.0.29 -j ACCEPT
iptables -A INPUT -p udp --destination-port http -m owner --uid-owner duncan -d 192.168.0.29 -j ACCEPT
iptables -A INPUT -p tcp --destination-port http -m owner --uid-owner duncan -d 192.168.0.29 -j ACCEPT
Wär super wenn jemand helfen könnte, danke ...
Ciao, Duncan
Mehr Informationen über die Mailingliste linux-l