1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

HowTo IPTables (Firewall) Script für euren Server

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von meister85, 28. Januar 2014.

  1. meister85
    Offline

    meister85 VIP

    Registriert:
    21. September 2009
    Beiträge:
    7.927
    Zustimmungen:
    5.229
    Punkte für Erfolge:
    113
    Code:
    nano /etc/init.d/firewall
    Code:
    #!/bin/sh
    ### BEGIN INIT INFO
    # Provides:          custom firewall
    # Required-Start:    $remote_fs $syslog $network
    # Required-Stop:     $remote_fs $syslog $network
    # Default-Start:     2 3 4 5
    # Default-Stop:      0 1 6
    # Short-Description: firewall initscript
    # Description:       Custom Firewall
    ### END INIT INFO
    
    IPT=/sbin/iptables
    
    case "$1" in
    start)
    
    # bestehende Verbindungen
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Über Loopback alles erlauben
    $IPT -I INPUT -i lo -j ACCEPT
    $IPT -I OUTPUT -o lo -j ACCEPT
    # SSH
    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    # OSCAM WEB
    $IPT -A INPUT -i eth0 -p tcp --dport 16002 -j ACCEPT
    # CCCAM
    $IPT -A INPUT -i eth0 -p tcp --dport 12000 -j ACCEPT
    # CCCAM WEB
    $IPT -A INPUT -i eth0 -p tcp --dport 16001 -j ACCEPT
    # CS378X
    $IPT -A INPUT -i eth0 -p tcp --dport 12345-j ACCEPT
    # CAMD35
    $IPT -A INPUT -i eth0 -p udp --dport 12345-j ACCEPT
    # PING SPERRE
    $IPT -A INPUT -i eth0 -j REJECT
    # SICHERHEIT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
    $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
    echo "Firewall wurde aktiviert, der Server ist geschützt"
    exit 0
    ;;
    
    stop)
    $IPT -F INPUT
    echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
    exit 0
    ;;
    
    restart|reload|force-reload)
    $0 stop
    sleep 1
    $0 start
    exit 0
    ;;
    
    *)
    echo "Usage: $0 {start|stop|restart|reload|force-reload}"
    exit 1
    ;;
    esac
    Code:
    chmod 775 /etc/init.d/firewall
    Code:
    ln -s /etc/init.d/firewall /usr/sbin/f
    Von nun an könnt ihr die Firewall mit folgenden Befehlen steuern:

    Code:
    f start              [COLOR=#0000cd] #Firewall wird gestartet[/COLOR]
    f stop                [COLOR=#0000cd]#Firewall wird gestoppt[/COLOR]
    f restart             [COLOR=#0000cd]#Firewall wird neugestartet[/COLOR]
    f reload              [COLOR=#0000cd]#Firewall wird neugestartet[/COLOR]
    f force-reload        [COLOR=#0000cd]#Firewall wird neugestartet[/COLOR]
    Um die Firewall automatisch mit einem Server Reboot zu starten, genügt es die rc.local wie folgt zu ergänzen:

    Code:
    nano /etc/rc.local
    Code:
    .....
    /etc/init.d/firewall start
    exit 0
     
    Zuletzt bearbeitet: 7. März 2014
    #1
  2. phantom

    Nervigen User Advertisement

  3. schalkerboy
    Offline

    schalkerboy Stamm User

    Registriert:
    15. November 2009
    Beiträge:
    1.214
    Zustimmungen:
    673
    Punkte für Erfolge:
    113
    Beruf:
    den hab ich
    Ort:
    NRW
    AW: IPTables (Firewall) Script für euren Server

    wie kann ich es eigentlich machen, wenn ich mehre Ports die hinter einadner auf sein sollen

    zb port 10001-10006
     
    #2
  4. lokipoki
    Offline

    lokipoki Meister

    Registriert:
    5. August 2012
    Beiträge:
    918
    Zustimmungen:
    311
    Punkte für Erfolge:
    63
    Ort:
    127.0.0.1
    AW: IPTables (Firewall) Script für euren Server

    # Meine definierte Port-Range
    $IPT -A INPUT -i eth0 -p tcp --dport 10001:10006 -j ACCEPT

    Mfg
     
    #3
    OsNaKay, janni1, al-x83 und 2 anderen gefällt das.
  5. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: IPTables (Firewall) Script für euren Server

    Wenn ich nun zwei adapter habe, auf denen ich cccam Port 33333 freigeben möchte, wie sieht das dann aus?

    Code:
    
    
    # CCCAM
    $IPT -A INPUT -i eth0 -p tcp --dport 33333 -j ACCEPT
    # CCCAM TUN0
    $IPT -A INPUT -i tun0 -p tcp --dport 33333 -j ACCEPT
    
    
    
    wäre das so korrekt? Bekomme über eth0 zugriff auf den cccam Port, tun0 lässt auf diesem Port jedoch nix durch.

    Danke

    Gruß
    SR-88
     
    #4
  6. lokipoki
    Offline

    lokipoki Meister

    Registriert:
    5. August 2012
    Beiträge:
    918
    Zustimmungen:
    311
    Punkte für Erfolge:
    63
    Ort:
    127.0.0.1
    AW: IPTables (Firewall) Script für euren Server

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    dementsprechend anpassen

    Mfg
     
    #5
    SR-88 und meister85 gefällt das.
  7. lokipoki
    Offline

    lokipoki Meister

    Registriert:
    5. August 2012
    Beiträge:
    918
    Zustimmungen:
    311
    Punkte für Erfolge:
    63
    Ort:
    127.0.0.1
    AW: IPTables (Firewall) Script für euren Server

    Mhh,

    angeblich sollte ja der neue 3.13er Kernel abwärtskompatibel zu iptables sein da ja dies durch nftables ersetzt werden sollte - doch anscheinend gibt es Probleme mit dem Script:

    EDIT:

    Die Datei war nach dem reboot leer ?!?! KP wieso
     
    #6
  8. meister85
    Offline

    meister85 VIP

    Registriert:
    21. September 2009
    Beiträge:
    7.927
    Zustimmungen:
    5.229
    Punkte für Erfolge:
    113
    AW: IPTables (Firewall) Script für euren Server

    Hi lokipoki. Welches OS kommt bei dir zum Einsatz?
     
    #7
  9. lokipoki
    Offline

    lokipoki Meister

    Registriert:
    5. August 2012
    Beiträge:
    918
    Zustimmungen:
    311
    Punkte für Erfolge:
    63
    Ort:
    127.0.0.1
    AW: IPTables (Firewall) Script für euren Server

    Debian 7

    Aber jetzt schwer nachzuvollziehen da die Feststellung weg ist :emoticon-0105-wink:
     
    #8
  10. al-x83
    Offline

    al-x83 Super-Moderator Digital Eliteboard Team

    Registriert:
    10. Januar 2012
    Beiträge:
    13.424
    Zustimmungen:
    12.689
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    SysAdmin
    Ort:
    Paradise City
    AW: IPTables (Firewall) Script für euren Server

    Da haben wohl 2 Mods gleichzeitig gewütet, ich habe wieder einen deiner Beiträge hergestellt.
     
    #9
    lokipoki gefällt das.
  11. lokipoki
    Offline

    lokipoki Meister

    Registriert:
    5. August 2012
    Beiträge:
    918
    Zustimmungen:
    311
    Punkte für Erfolge:
    63
    Ort:
    127.0.0.1
    AW: IPTables (Firewall) Script für euren Server

    Aber trotzdem seltsam

    Die Datei war leer, er gab aber ja folgenes als echo aus:

    Genau so wie die Parameter {start|stop|restart|reload|force-reload} ja auch funktionietren. Nano zeigte die Datei aber leer an, der Symlink war noch vorhanden. Ich hab echt keinen blassen schimmer.
     
    #10
  12. etlam
    Offline

    etlam Freak

    Registriert:
    3. Februar 2009
    Beiträge:
    277
    Zustimmungen:
    39
    Punkte für Erfolge:
    0
    Beruf:
    Big Boss
    Ort:
    NRW
    AW: IPTables (Firewall) Script für euren Server

    kann noch mal einer erklären ob mann nun eth0 durch tun0 ersetzen muß wenn mann vpn nutz ?
    stehe gerade
    aufn schlauch :d
     
    #11
  13. meister85
    Offline

    meister85 VIP

    Registriert:
    21. September 2009
    Beiträge:
    7.927
    Zustimmungen:
    5.229
    Punkte für Erfolge:
    113
    AW: IPTables (Firewall) Script für euren Server

    Lese mal bitte hier den Post #16

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

     
    #12
  14. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: IPTables (Firewall) Script für euren Server

    Hallo zusammen,

    immer wenn ich meine Firewall starte kommt folgende Meldung

    Was bedeutet dies?

    Danke für eure hilfe
     
    #13
  15. al-x83
    Offline

    al-x83 Super-Moderator Digital Eliteboard Team

    Registriert:
    10. Januar 2012
    Beiträge:
    13.424
    Zustimmungen:
    12.689
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    SysAdmin
    Ort:
    Paradise City
    AW: IPTables (Firewall) Script für euren Server

    Du hast diesen Befehl wohl nicht ausgeführt und so fehlt dir noch der Symlink:
    Code:
    ln -s /etc/init.d/firewall /usr/sbin/f
     
    #14
    schalkerboy, inkoknito und meister85 gefällt das.
  16. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: IPTables (Firewall) Script für euren Server

    Danke, für die schnelle Antwort.
    Dachte ich hätte ihn ausgeführt..

    ln -s /etc/init.d/firewall /usr/sbin/f
    ln: Symbolische Verknüpfung „/usr/sbin/f“ konnte nicht angelegt werden: Die Datei existiert bereits

    :emoticon-0103-cool:

    Mir gehen die Ideen aus.....
    Habe da gleich noch eine Frage, bekomme meine IpTables nicht konfiguriert. Habe OpenVpn und ddclient am laufen, jedoch egal was ich in IpTables eintrage bekomme den eingehenden Port für das sharing nicht auf.
    Bin beim Anbieter Hide.me und der Standardport ist 3478 für openvpn den möchte ich auf mein cccam port 23456 haben.
    Für Hilfe bin ich sehr dankbar
     
    Zuletzt bearbeitet: 2. März 2014
    #15

Diese Seite empfehlen