IPTables (Firewall) Script für euren Server

[meister85]

nano /etc/init.d/firewall

#!/bin/sh
### BEGIN INIT INFO
# Provides:          custom firewall
# Required-Start:    $remote_fs $syslog $network
# Required-Stop:     $remote_fs $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall initscript
# Description:       Custom Firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
start)

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# OSCAM WEB
$IPT -A INPUT -i eth0 -p tcp --dport 16002 -j ACCEPT
# CCCAM
$IPT -A INPUT -i eth0 -p tcp --dport 12000 -j ACCEPT
# CCCAM WEB
$IPT -A INPUT -i eth0 -p tcp --dport 16001 -j ACCEPT
# CS378X
$IPT -A INPUT -i eth0 -p tcp --dport 12345-j ACCEPT
# CAMD35
$IPT -A INPUT -i eth0 -p udp --dport 12345-j ACCEPT
# PING SPERRE
$IPT -A INPUT -i eth0 -j REJECT
# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;

stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;

restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;

*)
echo "Usage: $0 {start|stop|restart|reload|force-reload}"
exit 1
;;
esac

chmod 775 /etc/init.d/firewall

ln -s /etc/init.d/firewall /usr/sbin/f

Von nun an könnt ihr die Firewall mit folgenden Befehlen steuern:

f start              [COLOR=#0000cd] #Firewall wird gestartet[/COLOR]
f stop                [COLOR=#0000cd]#Firewall wird gestoppt[/COLOR]
f restart             [COLOR=#0000cd]#Firewall wird neugestartet[/COLOR]
f reload              [COLOR=#0000cd]#Firewall wird neugestartet[/COLOR]
f force-reload        [COLOR=#0000cd]#Firewall wird neugestartet[/COLOR]

Um die Firewall automatisch mit einem Server Reboot zu starten, genügt es die rc.local wie folgt zu ergänzen:

nano /etc/rc.local

.....
/etc/init.d/firewall start
exit 0

 

[schalkerboy]

AW: IPTables (Firewall) Script für euren Server

wie kann ich es eigentlich machen, wenn ich mehre Ports die hinter einadner auf sein sollen

zb port 10001-10006

 

[lokipoki]

AW: IPTables (Firewall) Script für euren Server

# Meine definierte Port-Range
$IPT -A INPUT -i eth0 -p tcp --dport 10001:10006 -j ACCEPT

Mfg

 

[SR-88]

AW: IPTables (Firewall) Script für euren Server

Wenn ich nun zwei adapter habe, auf denen ich cccam Port 33333 freigeben möchte, wie sieht das dann aus?

# CCCAM
$IPT -A INPUT -i eth0 -p tcp --dport 33333 -j ACCEPT
# CCCAM TUN0
$IPT -A INPUT -i tun0 -p tcp --dport 33333 -j ACCEPT

wäre das so korrekt? Bekomme über eth0 zugriff auf den cccam Port, tun0 lässt auf diesem Port jedoch nix durch.

Danke

Gruß
SR-88

 

[lokipoki]

AW: IPTables (Firewall) Script für euren Server

Sie müssen registriert sein, um Links zu sehen.

dementsprechend anpassen

Mfg

 

[lokipoki]

AW: IPTables (Firewall) Script für euren Server

Mhh,

angeblich sollte ja der neue 3.13er Kernel abwärtskompatibel zu iptables sein da ja dies durch nftables ersetzt werden sollte - doch anscheinend gibt es Probleme mit dem Script:

Knecht@Testserver / > /etc/init.d/firewall restart
Achtung, Firewall wurde gestoppt, der Server ist ungeschützt
/etc/init.d/firewall: 19: /etc/init.d/firewall: �/sbin/iptables-A: not found
Firewall wurde aktiviert, der Server ist geschützt

EDIT:

Die Datei war nach dem reboot leer ?!?! KP wieso

 

[meister85]

AW: IPTables (Firewall) Script für euren Server

Hi lokipoki. Welches OS kommt bei dir zum Einsatz?

 

[lokipoki]

AW: IPTables (Firewall) Script für euren Server

Debian 7

Aber jetzt schwer nachzuvollziehen da die Feststellung weg ist :emoticon-0105-wink:

 

[Alex]

AW: IPTables (Firewall) Script für euren Server

Da haben wohl 2 Mods gleichzeitig gewütet, ich habe wieder einen deiner Beiträge hergestellt.

 

[lokipoki]

AW: IPTables (Firewall) Script für euren Server

Aber trotzdem seltsam

Die Datei war leer, er gab aber ja folgenes als echo aus:

Achtung, Firewall wurde gestoppt, der Server ist ungeschützt

Genau so wie die Parameter {start|stop|restart|reload|force-reload} ja auch funktionietren. Nano zeigte die Datei aber leer an, der Symlink war noch vorhanden. Ich hab echt keinen blassen schimmer.

 

[etlam]

AW: IPTables (Firewall) Script für euren Server

kann noch mal einer erklären ob mann nun eth0 durch tun0 ersetzen muß wenn mann vpn nutz ?
stehe gerade aufn schlauch :d

 

[meister85]

AW: IPTables (Firewall) Script für euren Server

Lese mal bitte hier den Post #16 https://www.digital-eliteboard.com/showthread.php?312811-vpn/page2&p=2175519

 

[inkoknito]

AW: IPTables (Firewall) Script für euren Server

Hallo zusammen,

immer wenn ich meine Firewall starte kommt folgende Meldung

root@raspberrypi ~ > f start
/usr/sbin/f: 16: /usr/sbin/f: -A: not found
/usr/sbin/f: 18: /usr/sbin/f: -I: not found
/usr/sbin/f: 20: /usr/sbin/f: -A: not found
/usr/sbin/f: 22: /usr/sbin/f: -I: not found
/usr/sbin/f: 24: /usr/sbin/f: -A: not found
/usr/sbin/f: 26: /usr/sbin/f: -A: not found
/usr/sbin/f: 28: /usr/sbin/f: -A: not found
/usr/sbin/f: 30: /usr/sbin/f: -A: not found
/usr/sbin/f: 32: /usr/sbin/f: -A: not found
/usr/sbin/f: 34: /usr/sbin/f: -A: not found
/usr/sbin/f: 36: /usr/sbin/f: -A: not found
/usr/sbin/f: 38: /usr/sbin/f: -A: not found
/usr/sbin/f: 39: /usr/sbin/f: -A: not found
/usr/sbin/f: 40: /usr/sbin/f: -A: not found
/usr/sbin/f: 41: /usr/sbin/f: -A: not found
Firewall wurde aktiviert, der Server ist geschützt

Was bedeutet dies?

Danke für eure hilfe

 

[Alex]

AW: IPTables (Firewall) Script für euren Server

Du hast diesen Befehl wohl nicht ausgeführt und so fehlt dir noch der Symlink:

ln -s /etc/init.d/firewall /usr/sbin/f

 

[inkoknito]

AW: IPTables (Firewall) Script für euren Server

Danke, für die schnelle Antwort.
Dachte ich hätte ihn ausgeführt..

ln -s /etc/init.d/firewall /usr/sbin/f
ln: Symbolische Verknüpfung „/usr/sbin/f“ konnte nicht angelegt werden: Die Datei existiert bereits

:emoticon-0103-cool:

Mir gehen die Ideen aus.....
Habe da gleich noch eine Frage, bekomme meine IpTables nicht konfiguriert. Habe OpenVpn und ddclient am laufen, jedoch egal was ich in IpTables eintrage bekomme den eingehenden Port für das sharing nicht auf.
Bin beim Anbieter Hide.me und der Standardport ist 3478 für openvpn den möchte ich auf mein cccam port 23456 haben.
Für Hilfe bin ich sehr dankbar