der runde würfel

9. April 2011

Linux iptables Firewall

Kategorie: Computer — Schlagwörter: , , , , , , , , , , , , , , — bigfoot @ 23:43
Ein Beispiel Script für eine Firewall, einfach ein Script anlegen unter /etc/init.d/firewall und via update-rc…. einbinden.
/etc/init.d/firewall

#!/bin/sh
# Firewallscript von tsmag.de
# Erstellt 8.9.2006, Revision 3 – 08.04.2011

WANIF=”eth1″
LANIF=”eth0″
DMZIF=”eth2″
INTIF=”eth3″

WANIP=”111.111.111.111″
LANIP=”10.100.37.6″
DMZIP=”10.100.38.254″
INTIP=”10.100.39.254″
NTPIP=”132.187.3.3″
EXTDNS=”130.149.4.20 141.1.1.1″
INTDNS=”10.100.37.251″

case “$1″ in

start)
echo “START FIREWALL”
modprobe nf_conntrack_ftp
# Standardverhalten setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Alte Regeln entfernen

iptables -F
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Loopback-IF freigeben

iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -s $WANIP -i lo -j ACCEPT
iptables -A INPUT -s $LANIP -i lo -j ACCEPT
iptables -A INPUT -s $INTIP -i lo -j ACCEPT
iptables -A INPUT -s $DMZIP -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Antworten und bestehende Verbindungen akzeptieren

iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

# Lokales Netzwerk freigeben

iptables -A INPUT -s 10.100.37.0/24 -j ACCEPT
iptables -A OUTPUT -d 10.100.37.0/24 -j ACCEPT

# SSH freigeben

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# Den Zugriff auf die Ext. DNSServer erlauben

for DNSSERV in $EXTDNS
do
iptables -A OUTPUT -p udp -d $DNSSERV –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -d $DNSSERV –dport 53 -j ACCEPT
done
iptables -A OUTPUT -p udp –dport 53 -j REJECT

# Webzugriffe zulassen

iptables -A INPUT -p tcp –dport 80 -i $LANIF -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -i $WANIF -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -i $WANIF -j ACCEPT

# SMTP zulassen

iptables -A INPUT -p tcp -i lo -s 127.0.0.1 –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $LANIF -s $LANIP –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF -s $INTIP –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $DMZIF -s $DMZIP –dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 25 -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i $WANIF –dport 587 -j ACCEPT
iptables -A INPUT -p tcp -i $LANIF –dport 587 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF –dport 587 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 587 -m state –state ESTABLISHED,RELATED -j ACCEPT

# POP3 fuer die Zeit des Testens freigeben

iptables -A INPUT -p tcp -i $LANIF -s 10.100.37.0/24 –dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF -s 10.100.38.0/24 –dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i $DMZIF -s 10.100.39.0/24 –dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 110 -j ACCEPT
# POP3 SSL Freigeben
iptables -A INPUT -p tcp -d $WANIP –dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 995 -m state –state ESTABLISHED,RELATED -j ACCEPT
#SNMP zulassen
iptables -A INPUT -p udp -i lo -d 127.0.0.1 –dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -d 127.0.0.1 –dport 161 -j ACCEPT
# Specific connections
iptables -A INPUT -p udp -s $NTPIP –sport 123 -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -d $NTPIP –dport 123 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT
# Spoofing Attacken unterbinden und DoS
iptables -A INPUT -p tcp -m state –state NEW -m limit –limit 15/minute –limit-burst 3 -j ACCEPT
iptables -N SYN_FLD
iptables -A INPUT -p tcp –syn -j SYN_FLD
iptables -A SYN_FLD -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A SYN_FLD -j DROP
iptables -A INPUT -p icmp -m limit –limit 1/s –limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
#### WEITERES AUS SICHERHEITSGRUENDEN ENTFERNT
;;
stop)
echo “STOP FIREWALL”
iptables -F
iptables -X
# Default Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
status)
echo “SHOW STATUS”
iptables -L -vn
;;
*)
echo “CALL UNDEFINED”
echo “Syntax: $0 {start|stop|status}”
exit 1
;;
esac

26. Juli 2010

Extreme RaQ3-Pimpim-ing

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , — bigfoot @ 20:07

Wem sagen sie nichts. php.ini, httpd.conf, my.cnf. Tausend flags, schräubchen und drehchen, Values und No-Values.

Ram und CPU vorhanden. Maxtor Festplatte mit 80GB auch da, wenn auch nicht der überflieger. Aber alles in allem die Antwortzeiten um über 60% Reduziert.

So Handbücher und das WWW sind echt gut. Top, weiter so.

22. Juli 2010

Sun Cobalt RaQ3

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , — bigfoot @ 21:55

Tja mal eben einfach so nen CDRom dran stöpseln, iss nicht. Der USB Stick macht es auch nicht.
Oberation am offenen Herzen. Mal nebenbei bemerkt, die Kondensatoren machen schon dicke Backen. Ich denke da muss ich demnächst wohl mal den Lötkolben schwingen und neue einsetzen.

19. Juli 2010

Schraubendreher vs. USB Stick

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , — bigfoot @ 21:45

Da sich die RaQ3 nicht dazu bewegen lässt, via USB Stick von sda4 zu booten, werde ich jetzt andere Seiten aufziehen. Den Kreuzschlitzer angesetzt, und acht Schrauben herausgedreht. Einige Flüche auf das BIOS ausgesprochen, drei Biltze und Donner abgewartet, und dann hart und ohne umwege ein IDE Laufwerk als Secondary Master angestöpselt.

Mal sehen wer am längeren Hebl sitzt. Beim nächsten einschalten will ich keine Mucken mehr hören. Ansonsten *BlitzzucktvomHimmel*… …tbc…

16. Juli 2010

RaQ3 und der USB-Stick

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , — bigfoot @ 01:26

Schon mal jemand versucht, mit einem USB Stick an einer RaQ3 zu booten und ein neues Linux zu installieren? Der Stick ist /dev/sda4 und er lässt sich auch nicht im Bootmenü dazu bewegen. Nullmodemkabel und Com1 hilft auch nicht viel. Ich kann zwar manipulieren wie ein großer, aber den USB Stick bekomm ich trotzdem nicht ans fliegen.
Ich bin kurz davor, aus dem Keller ein altes CDRom Laufwerk zu holen und an dem internen Controller anzuflanschen. Bis Sonntag geb ich dem blauen Kasten Zeit, sich das noch zu überlegen. …tbc…

Ältere Einträge »

powered by wordpress; my content © 2009 - 2020