[linux-l] Ip-tables
Thomas Knop
tknop at maxrelax.de
Fr Okt 24 20:52:45 CEST 2003
* Webmaster at Miera.de <Webmaster at Miera.de> [23.10.03 08:10]:
> IPADDR=$(/sbin/ifconfig |
>
> /bin/grep P-t-P |
>
> /usr/bin/cut -c 21-38 |
>
> awk '{print $1}' ) # optain current IP address
Du weiß doch welches interface du benutzt?!
ifconfig ppp0 | awk -F: '/inet addr/ {print $2}' | cut -d\ -f1
> LOCALNET_1="192.168.0.0/192.168.0.100" # whatever private range you have
Interessante Netzmaske 192.168.0.100
Und das futtert iptables ohne Ärger zu machen?
> iptables -A INPUT -j ACCEPT -p all -s 192.168.1.0/24
Ah, hier also eine richtige netzmaske. Warum verwendest du nicht LOCALNET_?
> iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Sicher, dass du RELATED durchlassen willst (= contrack verwenden willst)?
> iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT
> iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT
Ok, offensichtlich willst du ;-)
Aber denk nochmal drüber nach ...
Tip 1 (ungetestet):
# accept echo-request (ping) from any host in my lan
iptables -A FORWARD -o ppp0 -p icmp --icmp-type 8 -j ACCEPT
# accept icmp host-not-reachable messages
iptables -A FORWARD -i ppp0 -p icmp --icmp-type 3 -j ACCEPT
# accept limited echo-reply (ping) packages
iptables -A FORWARD -i ppp0 -p icmp --icmp-type 0 \
-m limit --limit 5/second -j ACCEPT
Tip 2 (ungetestet):
Und falls du tracerouter verwenden willst:
# accept (linux-)traceroute udp packages from my unix workstation
iptables -A FORWARD -o ppp0 -p udp --dport 33434:33500 -s $UNIX_WS -j ACCEPT
# accept time-exceedet packages (used for traceroute)
iptables -A FORWARD -i ppp0 -p icmp --icmp-type 11 -d $UNIX_WS -j ACCEPT
Tip (viel, viel gelesen ;-):
http://www.networksorcery.com/enp/
Gruß Thomas
Mehr Informationen über die Mailingliste linux-l