auf der Suche nach einem fähigen&hilfsbereiten Forum hat mich google zu euch gebracht :)
Ich hab ein Problem bei meinen iptables, genauergesagt bekomm ich sie einfach nicht gebacken.. ich würde gerne von intern (192.168.0.0/24) alles erlauben, für dieses subnetz den gateway spielen und von extern nur die ports 21, 22, 80, 110 und 3306 erlauben. Vor allem will ich aber von extern samba verbieten. Mein aktuelles script kriegt dass leider nicht gebacken, kann mir evtl. jemand helfen?
Code: Select all
#!/bin/sh
# iptables fuer lan
MODPROBE=/sbin/modprobe
IPTABLES=/sbin/iptables
ip="/sbin/iptables"
$MODPROBE iptable_nat
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
$MODPROBE ip_nat_ftp
$MODPROBE ip_conntrack_ftp
LO_IFACE="lo"
LO_IP="192.168.0.5"
INET_IFACE="ppp0"
#CLEAN UP
$ip -F
$ip -X
$ip -Z
#BLOCK ALL
$ip -P INPUT DROP
$ip -P OUTPUT DROP
#LOCAL TRAFFIC
$ip -A INPUT -s $LO_IP -d $LO_IP -j ACCEPT
$ip -A OUTPUT -s $LO_IP -d $LO_IP -j ACCEPT
#DNS
$ip -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A OUTPUT -p udp -o $INET_IFACE --destination-port 53 -j ACCEPT
#ICMP
$ip -A OUTPUT -p icmp -o $INET_IFACE --icmp-type 8 -j ACCEPT
$ip -A INPUT -p icmp -i $INET_IFACE --icmp-type 0 -j ACCEPT
$ip -A INPUT -p icmp -i $INET_IFACE --icmp-type 3 -j ACCEPT
$ip -A INPUT -p icmp -i $INET_IFACE --icmp-type 11 -j ACCEPT
##### TCP ######
$ip -A OUTPUT -p tcp -o $INET_IFACE -m multiport --dport 20,21,70,80,81,83,113,443 -j ACCEPT
$ip -A OUTPUT -p tcp -o $INET_IFACE --sport 1024:65535 -j ACCEPT
$ip -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
