004
26.11.2004, 16:25 Uhr
typecast
aka loddab (Operator)
|
Was du machen solletest ist folgendes:
Ersten auf dem Gateway stellst du erst ein mal das Portforwarding an.
Anschliessend schreibst du ein script, in dem du iptables-Regeln (siehe dazu auch www.google.de). Das Script sollte ungefaehr folgendes machen:
1.) Blockieren _aller_ moeglichen Verbindungen mit einer DROP Policy. 2.) Erlaube in der INPUT-chain einigen Rechnern, dass zugreifen auf die verschiedenen Dienste auf dem Gateway (so wie ich das verstanden habe, laufen der Webserver, samba , bla bla bla alle auf dem Gateway. Die Regel kann z.B. so aussehen:
Code: |
/sbin/iptables -A INPUT -p tcp --s 192.168.0.0/24 --d $LOKALE_ADRESSE_DEINER_FIREWALL --sport 1024:65535 --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -s $LOKALE_ADRESSE_DEINER_FIREWALL -d 192.168.0.0/24 --sport 22 --dport 1024:65535 -j ACCEPT
|
Diese Regel wuerde jetzt den Zugriff auf den Port 22 (ssh) auf deine Firewall von allen Rechnern, die aus dem Subnetz 192.168.0.0 mit netmask 255.255.255.0 kommen wuerden erlauben (naeheres siehe www.google.de). Die Anfragen muessen von einem Port zwischen 1024 und 65535 kommen (was auch der vorgesehene Normalfall ist, alles andere willst du gar nicht . Siehe auch www.google.de )
Die zweite Regel erlaubt, dass Pakete von deinem Gateway vom port 22 zum anfragenden Port auf dem Rechner durchkommen.
3.) In der FORWARD chain kannst du dann gewissen Rechnern erlauben, ins Internet zu gehen. Eine Regel koennte so aussehen:
Code: |
/sbin/iptables -A FORWARD -p tcp --s 192.168.0.2 --sport 1024:65535 --dport 80 -j ACCEPT /sbin/iptables -A FORWARD -p tcp --d 192.168.0.2 --sport 80 --dport 1024:65525 -j ACCEPT
|
Das erlaubt dem Rechner 192.168.0.2 eine Verbindung zu jedem anderen Rechner auf den Port 80 aufzubauen. Wenn du spezielle Rechner verbieten willst, dann musst du _davor_ expliziet alle Pakete DROPen, die an Rechner gehen, auf die nicht zugriffen werden soll.
Merke: Die Regel, die du als erstes angibt, wird als erstes Ausgefuehrt. Wird eine Regel gefunden, die auf ein Paket angewendet werden kann, werden keine weiteren Regeln dieser Chain mehr ausgefuehrt.
So, jetzt wuensch ich dir viel spass beim googlen Ich hoffe das hilft dir weiter. -- All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925) |