[linux-l] iptables (Eheamals: Fedora3 Firewall)

Olaf Radicke olaf_rad at gmx.de
Mo Nov 14 22:11:03 CET 2005


Am Montag, 14. November 2005 00:19 schrieb Volker Grabsch:
> On Sun, Nov 13, 2005 at 07:17:22PM +0100, Oliver Bandel wrote:
> > On Sun, Nov 13, 2005 at 05:10:27PM +0100, Volker Grabsch wrote:
> > [...]
> >
> > > Wenn du diesen im Netz partout nicht finden solltest, sag mir bescheid.
> > > Dann schreib ich dir ne Howto. In diesem Fall: Bitte schnauze mich
> > > sofort voll, falls diese zu kompliziert, umständlich oder
> > > unverständlich sein sollte. ;-)
> >
> > Eine iptables-Einführung würde mich auch interessieren... :)
>
> Es wäre gut, wenn du/ihr mir einfach ein paar Tutorials nennt (URLs),
> und dazu schreibt, was euch an diesen stört. (z.B. zu unverständlich,
> zu kompliziert, offene Fragen, ...)

Ich hatte mir u.a. von O'Reilly Linux in a nutshell und ein Pro-Linux-Artikel 
(http://www.pl-forum.de/t_netzwerk/print/iptables.html) angesehen.

Mir war u.a. nicht klar warum ich -p (Protokoll) angeben MUSS wenn ich doch 
den PORT komplett dicht machen oder öffnen will. Weiß ich ob z.B. ssh UDP 
oder TCP benutzt. Dann habe ich noch extern suchen müssen, welcher Server an 
welchen Port lauscht. Fündig geworden bin ich dann in der /etc/services.

Z.Z. sie mein sh-Skript so aus:
<ipt-sh-skript>
#!/bin/sh
iptables -F

iptables -A INPUT -p udp --sport 53 -j ACCEPT # DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # smtp

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#sleep 30

#iptables -F INPUT
#iptables -P INPUT ACCEPT
</ipt-sh-skript>

Tut aber nicht das was ich erwarte. Wenn ich das ausführe komm ich nicht mehr 
raus (kein Ping, http, etc zu anderen Rechnern). Weiß der Teufel warum. Ob 
ich die Ports für DNS brauche, ist mir auch nicht klar. Und wenn ja, ob IMPUT 
oder OUTPUT, --sport oder --dport...keine blassen Schimmer wer da wem welche 
Pakete schickt.

Was ich mir gewünscht hätte?

Eine Sammlung mit realistischen Fallbeispielen mit ausführlichen Kommentaren. 
Also nach dem Schema:
- Zielstellung
- Weg
- Erörterungen / Varianten

Olaf Radicke
(Der nach drei Tagen - probieren und studieren - immer noch keine Firewall 
aber dafür jede Menge graue Haare hat) 




Mehr Informationen über die Mailingliste linux-l