Linux:Iptables: Unterschied zwischen den Versionen
Aus Alexander's Wiki
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 8: | Zeile 8: | ||
Nun werden die Regeln eingefügt (ohne die Zeilennummern): | Nun werden die Regeln eingefügt (ohne die Zeilennummern): | ||
<source line=" | <source line="true" start=1 lang="bash"> | ||
*filter | *filter | ||
:INPUT DROP [159:12505] | :INPUT DROP [159:12505] | ||
Zeile 20: | Zeile 20: | ||
COMMIT | COMMIT | ||
</source> | </source> | ||
* Zeile 5: erlaubt alle Zugriffe über die Loopback-Schnittstelle ''lo''. Dies können nur Zugriffe vom eigenen Linux-System sein. | |||
* Zeile 6: erlaubt ICMP-Anfragen (z.B. ping) | |||
* Zeile 7: erlaubt bereits aufgebaute eingehende Verbindungen generell | |||
* Zeile 8: erlaubt Zugriffe auf den TCP-Port 22 (ssh-Daemon) | |||
* Zeile 9: alles verwerfen, was bis hierher gekommen ist (also die vorherigen Regeln nicht gegriffen haben) | |||
== Informationen == | |||
<source line=1 start=1 lang="bash"> | |||
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT | |||
-A INPUT -s 192.168.10.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT | |||
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT | |||
</source> | |||
Zeile 1: Der "Originalebefehl" | |||
Zeile 2: Begrenzung auf ein Netzwerk | |||
Zeile 3: Begrenzung auf eine Schnittstelle (z.B. LAN und WLAN) |
Version vom 15. Dezember 2013, 14:11 Uhr
Raspberry Pi
Standardmäßig gibt es im aktuellen Raspbian Image noch keine Konfigurationsdatei für die Firewall-Regeln. Daher erstellen einer Datei /etc/network/iptables mit einem Editor.
sudo nano /etc/network/iptables
Nun werden die Regeln eingefügt (ohne die Zeilennummern):
*filter
:INPUT DROP [159:12505]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [140:13492]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
- Zeile 5: erlaubt alle Zugriffe über die Loopback-Schnittstelle lo. Dies können nur Zugriffe vom eigenen Linux-System sein.
- Zeile 6: erlaubt ICMP-Anfragen (z.B. ping)
- Zeile 7: erlaubt bereits aufgebaute eingehende Verbindungen generell
- Zeile 8: erlaubt Zugriffe auf den TCP-Port 22 (ssh-Daemon)
- Zeile 9: alles verwerfen, was bis hierher gekommen ist (also die vorherigen Regeln nicht gegriffen haben)
Informationen
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.10.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
Zeile 1: Der "Originalebefehl" Zeile 2: Begrenzung auf ein Netzwerk Zeile 3: Begrenzung auf eine Schnittstelle (z.B. LAN und WLAN)