Linux iptables Firewall und VOIP Telefon.

nebulus

Neuer User
Mitglied seit
2 Sep 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hy,

habe ein bt-100 Telefon hinter meinen Linux Router/Firewall Rechner gehängt, und mich bei sipgate.de angemeldet.

Es funktioniert auch alles, nur das VOIP-Telefon verschickt keinen Ton ins Festnetz.
Ein Anruf vom Festnetz zum VOIP Telefon klappt. Ich kann am Festnetz das VOIP NICHT hören.
Ich kann am VOIP das Festnetz hören.

Ein Hardwaredefekt des VOIP Telefons habe ich schon ausgeschlossen, und mich im lokalem Lan mal angerufen, geht.

Die einzige Fehlerquelle die noch offen bleibt ist meine "do-it-yourself" Firewall auf dem Linux-DSL-Router.

Der Aufbau ist folgender am Router:
ppp+(eth2) Anschluss DSL Modem
192.168.1.1(eth1) Lokales Lan
eth0 und eth3 sind zwei andere Netze.

Das VOIP Telefon hat die IP 192.168.1.5 und ist an eth1 angeschlossen.
Wie man sehr schoen sieht habe ich Port 5060,5004,5005 auf das VOIP Telefon geforwardet mit DNAT.
Von innen nach aussen ist alles erlaubt !

Es werden keine eingehenden Pakete mehr gedroppt.

Nun ist guter Rat teuer :)

Hier mal meine iptables-save:
[email protected]:~# iptables-save
# Generated by iptables-save v1.3.6 on Wed Feb 2 19:53:27 2000
*raw
:pREROUTING ACCEPT [24906911:22618620725]
:OUTPUT ACCEPT [1022109:731042983]
COMMIT
# Completed on Wed Feb 2 19:53:27 2000
# Generated by iptables-save v1.3.6 on Wed Feb 2 19:53:27 2000
*nat
:pREROUTING ACCEPT [2271:332954]
:pOSTROUTING ACCEPT [14:2280]
:OUTPUT ACCEPT [6:379]
-A PREROUTING -i ppp+ -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.1.5:5060
-A PREROUTING -i ppp+ -p udp -m udp --dport 5004 -j DNAT --to-destination 192.168.1.5:5004
-A PREROUTING -i ppp+ -p udp -m udp --dport 5005 -j DNAT --to-destination 192.168.1.5:5005
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Wed Feb 2 19:53:27 2000
# Generated by iptables-save v1.3.6 on Wed Feb 2 19:53:27 2000
*mangle
:pREROUTING ACCEPT [24906930:22618622785]
:INPUT ACCEPT [1102431:748815576]
:FORWARD ACCEPT [23803522:21869603358]
:OUTPUT ACCEPT [1022125:731045243]
:pOSTROUTING ACCEPT [24825335:22600363505]
COMMIT
# Completed on Wed Feb 2 19:53:27 2000
# Generated by iptables-save v1.3.6 on Wed Feb 2 19:53:27 2000
*filter
:INPUT DROP [733:115691]
:FORWARD DROP [4:4396]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.1.2 -d 192.168.1.1 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -s 192.168.3.2 -d 192.168.3.1 -i eth3 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o ppp+ -j ACCEPT
-A FORWARD -d 192.168.1.5 -i ppp+ -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -d 192.168.1.5 -i ppp+ -p udp -m udp --dport 5004 -j ACCEPT
-A FORWARD -d 192.168.1.5 -i ppp+ -p udp -m udp --dport 5005 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT
-A OUTPUT -o ppp+ -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -d 213.168.112.60 -o ppp+ -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -d 213.168.112.60 -o ppp+ -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 194.8.194.60 -o ppp+ -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -d 194.8.194.60 -o ppp+ -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 194.8.194.0/255.255.255.0 -o ppp+ -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -d 194.8.194.0/255.255.255.0 -o ppp+ -p tcp -m tcp --dport 995 -j ACCEPT
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 21 -j ACCEPT
COMMIT

Hier mal mein Script, das obiges erzeugt hat:
# Port Forwarding einschalten fuer $LOKAL->$INET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# evtl. noch die IP des Rechners mit -s eingrenzen der geforwarded werden soll
iptables -A FORWARD -i $LOKAL -o $INET -j ACCEPT
iptables -t nat -A POSTROUTING -o $INET -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

# NAT Routing erlauben
iptables -P POSTROUTING ACCEPT -t nat
#iptables -P PREROUTING ACCEPT -t nat
iptables -P OUTPUT ACCEPT -t nat

# Voip Telefon an 192.168.1.5 $LOKAL
# SIP Port 5060 UDP
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5060 -j DNAT --to $VOIPIP:5060
iptables -A FORWARD -i $INET -p udp --dport 5060 -d $VOIPIP -j ACCEPT
# RTP - the media stream Port 5004 UDP
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5004 -j DNAT --to $VOIPIP:5004
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5005 -j DNAT --to $VOIPIP:5005
iptables -A FORWARD -i $INET -p udp --dport 5004:5005 -d $VOIPIP -j ACCEPT
 
Zuletzt bearbeitet:

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,996
Punkte für Reaktionen
7
Punkte
38
nebulus schrieb:
Es funktioniert auch alles, nur das VOIP-Telefon verschickt keinen Ton ins Festnetz.
Von innen nach aussen ist alles erlaubt !
nö isses nicht. gugg dirs mit iptraf etc an.

nebulus schrieb:
Hier mal meine iptables-save:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 8080 -j ACCEPT

wie bitte soll das tele da ne neue UDP RTP verbindung nach aussen etablieren?
entweder du machst das auf oder du musst dir was intelligenteres für deine selektiven freigaben einfallen lassen, was mit -s , das tele hat ja ne statische ip oder statisches DHCP ;) :
-A FORWARD -i eth1 -o ppp+ -j ACCEPT, das ist ok? UND IN+OUT? und was macht MASQUERADE?

-A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
(nur denkanstoss, ist nicht wirklich was du willst, man iptables)

holla! so restriktiv sein wollen aber dann ppp+ und sowas und alles nach draussen naten:
-A POSTROUTING -o ppp+ -j MASQUERADE
da kannste dir u.U. schnell hacker einhandeln. das machste ohne grenznetz und 2. paketfilter mal besser so:
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
und das
iptables -A FORWARD -m state --state NEW,INVALID -j DROP

floodingschutz und pakettypschutz hat deine fw au ned:
iptables -N syn-flood
iptables -A INPUT -i ppp0 -p tcp --syn -j syn-flood
iptables -A syn-flood -i ppp0 -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -i ppp0 -j DROP
iptables -A INPUT -i ppp0 -p tcp ! --syn -m state --state NEW -j DROP
wenn de deinen internen lans sowenig traust dann das --syn auch noch intern erfordern.
-i ppp0 oben dann raus.

und das haste so?
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 7 > /proc/sys/net/ipv4/ip_dynaddr
echo 3600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 3600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
echo 1 > /proc/sys/net/ipv4/ip_forward

und wenn das tele STUN kann, dann besser nicht mit portforwarding quälen.

nebulus schrieb:
Hier mal mein Script, das obiges erzeugt hat:
unvollständig. geht uns nix an? gut.

hoffentlich aber so initalisiert:
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
for i in `cat /proc/net/ip_tables_names`
do
iptables -F -t $i
iptables -X -t $i
iptables -Z -t $i
done

und ftp transfer dürfte ohne zusätzlich
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 20 -j ACCEPT
auch ned recht gehen, es sei denn das is absicht.

und dann guggste dir das mit ~# iptables -L -v (-t nat) und iptraf nochmal richtig an...
 
Zuletzt bearbeitet:

nebulus

Neuer User
Mitglied seit
2 Sep 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Ich poste besser mal mein gesammtes iptables script.

Danke woprr für die vielen Tipps.
Den floodingschutz und pakettypschutz werde ich noch einbauen.
Ebenfalls bin ich mit dem Forwarding generell noch nicht zufrieden, da es noch zu offen ist. Der Router wird in zukunft ein "reiner" Router, ohne extras wie Proxy und DNS-Cache, usw.

#!/bin/sh

/bin/echo "FIREWALL STANDALONE NEU" >> /var/log/sys.log

# Interface to Internet
INET=ppp+
# Lokales Lan
LOKAL=eth1
LOKALIP=192.168.1.0/24
#ISDN CallBack Modem
ISDN=eth0
#WLAN
WLAN=eth3
#PPPOEDEV
PPPOEDEV=eth2

#Provider DNS SERVER
DNSSERVER="213.168.112.60 194.8.194.60"
#Provider SMTP+POP3 SERVER
POP3SERVER="194.8.194.0/24"
SMTPSERVER="194.8.194.0/24"

# VOIP Telefon IP
VOIPIP="192.168.1.5"


# -i inputDEV, -o outputDEV, -d destinationIP, -s sourceIP

# delete alte Regeln
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -F -t nat

# default alles verbieten
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# antwort auf bestehende Verbindungen akzeptieren
# neue verbindungen muessen expliziet mit ACCEPT erlaubt werden
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# loopback device oeffnen
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -o lo -j ACCEPT

# ssh erlauben
iptables -A INPUT -s 192.168.1.2 -d 192.168.1.1 -p tcp -i $LOKAL --dport 22 -j ACCEPT
#iptables -A OUTPUT -d 192.168.1.2 -s 192.168.1.1 -p tcp -o $LOKAL --dport 22 -j ACCEPT

# ping erlauben im lokalem Netz + ISDN Netz
iptables -A INPUT -i $LOKAL -p ICMP --icmp-type echo-request -j ACCEPT
##iptables -A OUTPUT -o $LOKAL -p ICMP --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i $ISDN -p ICMP --icmp-type echo-request -j ACCEPT
##iptables -A OUTPUT -o $ISDN -p ICMP --icmp-type echo-reply -j ACCEPT

#ping ins Internet erlauben (um z.B. heise.de anzupingen vom router aus)
iptables -A OUTPUT -o $INET -p ICMP --icmp-type echo-request -j ACCEPT
##iptables -A INPUT -i $INET -p ICMP --icmp-type echo-reply -j ACCEPT

# Zugriff auf Proxy erlauben aus LOKAL + ISDN + WLAN
# keine OUTPUT Regel, da ja ESTABLISHED,RELATED fuer Output gilt
iptables -A INPUT -p tcp -i $LOKAL --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -i $ISDN --dport 8080 -j ACCEPT
#Zugriff auf Proxy im Wlan nur von der IP 192.168.3.2 moeglich!
iptables -A INPUT -p tcp -i $WLAN --dport 8080 -s 192.168.3.2 -d 192.168.3.1 -j ACCEPT

# PPPOEDEV ALLES zulassen, ansonsten keine Einwahl zum Provider moeglich
#iptables -A INPUT -i $PPPOEDEV -j ACCEPT
iptables -A OUTPUT -o $PPPOEDEV -j ACCEPT

# DNS nur auf Provider DNS-Server zulassen
for DNS in $DNSSERVER; do
iptables -A OUTPUT -p tcp -d $DNS -o $INET --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d $DNS -o $INET --dport 53 -j ACCEPT
done

## pdnsd von $LOKAL zulassen
#iptables -A INPUT -p tcp -i $LOKAL --dport 53 -j ACCEPT
#iptables -A INPUT -p udp -i $LOKAL --dport 53 -j ACCEPT

# SMTP(25)+POP3(995) nur auf Provider SMTP+POP3 Mail-Server
iptables -A OUTPUT -p tcp -d $SMTPSERVER -o $INET --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -d $POP3SERVER -o $INET --dport 995 -j ACCEPT

# WEB(80), HTTPS(443) zulassen
iptables -A OUTPUT -p tcp -o $INET --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o $INET --dport 443 -j ACCEPT

# FTP (passiv)
iptables -A OUTPUT -p tcp -o $INET --dport 21 -j ACCEPT

# Port Forwarding einschalten fuer $LOKAL->$INET
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# evtl. noch die IP des Rechners mit -s eingrenzen der geforwarded werden soll
iptables -A FORWARD -i $LOKAL -o $INET -j ACCEPT
iptables -t nat -A POSTROUTING -o $INET -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

# NAT Routing erlauben
iptables -P POSTROUTING ACCEPT -t nat
#iptables -P PREROUTING ACCEPT -t nat
iptables -P OUTPUT ACCEPT -t nat

# Voip Telefon an 192.168.1.5 $LOKAL
# SIP Port 5060 UDP
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5060 -j DNAT --to $VOIPIP:5060
iptables -A FORWARD -i $INET -p udp --dport 5060 -d $VOIPIP -j ACCEPT
# RTP - the media stream Port 5004 UDP
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5004 -j DNAT --to $VOIPIP:5004
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5005 -j DNAT --to $VOIPIP:5005
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5006 -j DNAT --to $VOIPIP:5006
iptables -t nat -A PREROUTING -i $INET -p udp --dport 5007 -j DNAT --to $VOIPIP:5007
iptables -A FORWARD -i $INET -p udp --dport 5004:5007 -d $VOIPIP -j ACCEPT


# Den Rest loggen
#iptables -A OUTPUT -o $INET -j LOG --log-prefix "OUTPUT: "
#iptables -A INPUT -i $INET -j LOG --log-prefix "INPUT: "
#iptables -A FORWARD -j LOG --log-prefix "FORWARD:"
>wie bitte soll das tele da ne neue UDP RTP verbindung nach aussen etablieren?
Das sage ich hiermit: iptables -A FORWARD -i $LOKAL -o $INET -j ACCEPT

>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
Ist eine Gute Idee. Muesste ich evtl. noch um Iprange des WLAN und ISDN Netz anpassen.

>iptables -A FORWARD -m state --state NEW,INVALID -j DROP
Passiert das nicht default ? Da ich ja sowieso nur ESTABLISHED,RELATED durchlasse.
 

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,996
Punkte für Reaktionen
7
Punkte
38
>>wie bitte soll das tele da ne neue UDP RTP verbindung nach aussen etablieren?
>Das sage ich hiermit: iptables -A FORWARD -i $LOKAL -o $INET -j ACCEPT

# antwort auf bestehende Verbindungen akzeptieren
# neue verbindungen muessen expliziet mit ACCEPT erlaubt werden *
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
*falsch EST,REL wird hier explicit erlaubt. NEW gar ned und wird geDROPt.

EDIT:
sorry, :kasper: ich mach das au ned jeden tag ;)
FORWARD geht aber unabhängig von INPUT, dämliche logik in iptables.
das hier
iptables -A FORWARD -m state -i eth2 --state NEW,ESTABLISHED,RELATED -j ACCEPT
schickt alles woandershin und ins WAN ausser auf den firewallhost der DROPd input.
mach ich NEW weg geht weder audio noch kann das tc300 mit ntp,pop3s,www raus ins WAN.
ich hab das in konsequenz so ähnlich gemacht wie du:

#iptables -A FORWARD -m state -i eth2 --state NEW -j ACCEPT
iptables -A FORWARD -s 192.168.100.xxx -i eth2 -o eth1 -j ACCEPT
iptables -A FORWARD -m state -i eth2 --state ESTABLISHED,RELATED -j ACCEPT

und für anbindung an mein lokales PBX:
iptables -A INPUT -p udp -m udp --dport 5060 -i eth2 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -i eth2 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport $RTP_TC300 -s 192.168.100.xxx -i eth2 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport $RTP_SINUS -s 192.168.100.xxx -i eth2 -j ACCEPT

www,ntp,pop3s,dns,sip lokal, rtp lokal geht dann im TC300.

grad das tc300 auf sipgate direkt über nat angemeldet und das funktioniert einwandfrei:
07:12:59.255869 IP reverse75-68-10-217.netzquadrat.net.62814 > pir.tc300.net.xxxxx: UDP, length 172
07:12:59.256226 IP reverse75-68-10-217.netzquadrat.net.62814 > pir.tc300.net.xxxxx: UDP, length 172
07:12:59.256445 IP reverse75-68-10-217.netzquadrat.net.62814 > pir.tc300.net.xxxxx: UDP, length 172
07:12:59.257366 IP pir.tc300.net.xxxxx > reverse75-68-10-217.netzquadrat.net.62814: UDP, length 172
07:12:59.260721 IP pir.tc300.net.xxxxx > reverse75-68-10-217.netzquadrat.net.62814: UDP, length 172
07:12:59.269130 IP pir.tc300.net.xxxxx > reverse75-68-10-217.netzquadrat.net.62814: UDP, length 172

ich fürchte du hast ein anders problem als iptables.

BTW, auch danke für Deine beispiele, hab glatt vergessen, das unsicherere netz der sinus tc300 vom internen lan
abzusperren, in zeiten von bundestrojanern doch ne gute idee (wer weiss ob die t-com nicht ne mac/wpa-psk liste hat,
den PSK in der sinus hab ich auch gleich geändert) ;)

EDIT END

>>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
>Ist eine Gute Idee. Muesste ich evtl. noch um Iprange des WLAN und ISDN Netz anpassen.
unbedingt.

>>iptables -A FORWARD -m state --state NEW,INVALID -j DROP
>Passiert das nicht default ? Da ich ja sowieso nur ESTABLISHED,RELATED durchlasse.
defaults können sich in neuren softwareversionen ändern, darauf verlässt man sich nicht.
 
Zuletzt bearbeitet:

BenAtTSI

Neuer User
Mitglied seit
17 Feb 2007
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Hallo woprr,
alle Achtung - du scheinst ja ne Menge mit iptables zu machen. Ich will wesentlich einfachere Sachen machen - eine zeitweise Freischaltung / Sperrung des Traffic auf MAC-Basis. Im Forum hab ich noch nichts richtiges gefunden, und weiß nicht, inwieweit die iptables auf der FB mit den Beschreibungen im Netz bedient werden kann, will also nicht wild ein Script erstellen.

Ich habe die Firewall frisch drauf. Ist es richtig, das erst einmal NICHTS installiert ist, die Fw. also auf keine rules reagiert, oder sind schon Regeln per default vorhanden? Ich wollte eigentlich nur was machen wie:" iptables -A FORWARD -m mac --mac $MAC_ADRESSE -j DROP" - muss da noch was "drum herum", und bin ich bei FORWARD richtig?

Danke für einen Tipp! :)

...der Ben
 

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,996
Punkte für Reaktionen
7
Punkte
38
mac filter sinnlos. clients können ihre mac jederzeit ändern, linux mit ifconfig, windows gibts auch progs dafür und zugelassene macs findet man leicht mit sniffern raus. und man geht nach dem prinzip der geringsten rechte vor, d.h. alles DROP und nur ACCEPT was durchgehen soll.

default für alle chains ist ACCEPT.

siehe beispielscript von nebulus und iptables manpage , google iptables einführung.
 

BenAtTSI

Neuer User
Mitglied seit
17 Feb 2007
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Hallo woprr,

...o.k., check. Gegoogled hatte ich schon, sah mir aber alles zu lang aus, daher dachte ich an eine Kurzvariante. Aber logisch; mach ich mir nen "richtiges" Script. Inwieweit stimmen die Angaben zur "normalen" iptables mit denen der hier verwendeten überein (pfade, Dateinamen,...) - gibt da (wenn vorhanden) eine "Delta"-Zusammenstellung, oder kann man sich an die Standardvorgaben z.B. aus dem IP-Tables Howto halten?

Vielleicht kannst du dir ja mal den thread bzgl. iptables-problemen anschauen, ob du da auch helfen kannst (Fehler-debug des allgemeinen Thread-themas in Beitrag #1, #6, nicht meine Anfrage)?

Danke!

...Ben
 
Zuletzt bearbeitet:

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,996
Punkte für Reaktionen
7
Punkte
38
das howto ist zu alt, gugg auf netfilter.org nach links zum aktuellen.

und in dem genannten thread ist nix lesbar ausser kernel panics/gpl hickhack.
und avm's kernel hacks fass ich ned an.
und wie gesagt, mac filter sind sicherheitsnutzlose kindereien.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,860
Beiträge
2,027,446
Mitglieder
350,962
Neuestes Mitglied
DerDahier