[linux-l] Ip-tables

Webmaster at Miera.de Webmaster at Miera.de
Mi Okt 22 15:15:58 CEST 2003


Hi Leute :-D

Ich bin gerade dabei ein Routing Script 
um bauen. Ich komme aber leider nicht weiter.

Wenn ich das Script so starte, kann ich kein Ping auf einen Server machen.

Mein Internetgateway ist auf die ip: 192.168.0.1 gelegt.
Meine Adsl Verbindung wird über 192.168.1.1 aufgerufen...

Nachher möchte ich standartmäßig nur den ssh port offen
haben und den rest bei bedarf zuschalten können.

Vielleicht könnt ihr mir ja sagen was ich falsch mache...

Hier mein sctipt:

##########################################################
# IP-Tables Script #######################################
##########################################################


#/bin/sh

echo "Starting firewalling ..."

echo "........................"

##########################################################
# IP-Adresse bestimmen (nicht unbedingt notwendig) #######
##########################################################

IPADDR=$(/sbin/ifconfig |

/bin/grep P-t-P |

/usr/bin/cut -c 21-38 |

awk '{print $1}' ) # optain current IP address

###########################################################
# Variablen definieren ####################################
###########################################################

EXTERNAL_INTERFACE="eth1"               # Internet connected interface
LOOPBACK_INTERFACE="lo"                 # or your local naming convention
LOCAL_INTERFACE_1="eth0"                # internal LAN interface
LOCALNET_1="192.168.0.0/192.168.0.100"  # whatever private range you have
ANYWHERE="0/0"                          # match any IP address

DHCP_SERVER="0/0"

NAMESERVER_1="192.168.0.1"

NAMESERVER_2="192.168.1.1"

echo "external interface $EXTERNAL_INTERFACE $IPADDR"

echo "local interface $LOCAL_INTERFACE_1 $LOCALNET_1"

SMTP_SERVER="0/0"                       # Your ISP mail gateway. Your relay.

IMAP_SERVER="0/0"                       # Your ISP mail gateway.

LOOPBACK="127.0.0.0/8" # reserved Loopback address range

PRIVPORTS="0-1023" # well known, privileged port range.

UNPRIVPORTS="1024-65535" # unprivileged port range.

#################################################################
# Alle Regeln aufheben ##########################################
#################################################################

iptables -F
iptables -F -t nat
iptables -F -t filter

#################################################################
# IP Forwarding aktivieren ######################################
#################################################################

echo 1> /proc/sys/net/ipv4/ip_forward


################################################################
# Unlimitierter Traffic am LOOPBACK ############################
################################################################

iptables -A INPUT -i $LOOPBACK_INTERFACE -j ACCEPT
iptables -A OUTPUT -o $LOOPBACK_INTERFACE -j ACCEPT
iptables -A INPUT -j ACCEPT -p all -s 192.168.1.0/24
iptables -A OUTPUT -j ACCEPT -p all -d 192.168.1.0/24
iptables -A INPUT -i $LOCAL_INTERFACE_1 -s $LOCALNET_1 -j ACCEPT
iptables -A OUTPUT -o $LOCAL_INTERFACE_1 -d $LOCALNET_1 -j ACCEPT
iptables -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE

iptables -A INPUT -j ACCEPT -p all -s 127.0.0.1/8
iptables -A OUTPUT -j ACCEPT -p all -d 127.0.0.1/8


###############################################################
# Traffic am Server ###########################################
###############################################################

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 113 -j ACCEPT

 iptables -A INPUT -p tcp -s 0/0 --dport 443 -j ACCEPT


 ##########################################################
 # (weiterleitungen emule etc)#####################
 ##########################################################

#Emule

iptables -A FORWARD -t filter -i ppp0 -s 0/0 -p tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -t filter -i ppp0 -s 0/0 -p udp --dport 4672 -j ACCEPT
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 4662 -j DNAT
--to-destination 192.168.0.10:4662
iptables -A PREROUTING -t nat -i ppp0 -p udp --dport 4672 -j DNAT
--to-destination 192.168.0.10:4672



 #iptables -A INPUT -p udp -s 0/0 --dport 2302:2400 -j ACCEPT
 #iptables -A INPUT -p udp -s 0/0 --dport 2300 -j ACCEPT
 #iptables -A INPUT -p udp -s 0/0 --dport 6073 -j ACCEPT

 #iptables -A FORWARD -p udp -m state --state ESTABLISHED,RELATED \
 #-j ACCEPT

 #iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 2302:2400 \
 #-j DNAT --to-destination 192.168.0.1:2302-2400

 #iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 2300 -j DNAT \
 #--to-destination 192.168.0.1:2300

 #iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 6073 -j DNAT \
 #--to-destination 192.168.0.1:6073

 #iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 2605:2615 -j \
 #DNAT --to-destination 192.168.0.1:2605-2615

 echo "done"

 exit 0

-------

Danke

Chris






Mehr Informationen über die Mailingliste linux-l