Hallo Forum,
Auf meinem PC läuft nun eine Firewall mit einem iptables-Skript. Das habe ich mir aus diversen Tutorials erlernt und entwickelt. Hier erstmal die Datei:
# ACHTUNG: Änderungen im Skript funktionieren nur bei manuellem Ausführen, NICHT nach einem Neustart. # Damit es nach einem Neustart funktioniert muss man die Datei ausführen und dann # sudo -s und dann: iptables-save > /etc/iptables/rules.v4 # eingeben. echo Neustart des LAN-Adapters, bitte warten... ifconfig eno1 down echo Wende Filterregeln an # Alle Filterregeln löschen iptables -F -t mangle iptables -F -t filter iptables -F -t nat iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Interne Kommunikation zulassen iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Bestehende Verbindungen zulassen iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH zulassen iptables -A INPUT -p tcp --dport 22741 -j ACCEPT # DHCP zulassen iptables -A INPUT -p udp --dport 67 -j ACCEPT # DNS zulassen iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # Email iptables -A OUTPUT -p tcp --dport 993 -d 212.227.17.162 -j ACCEPT # imap.web.de iptables -A INPUT -p tcp --dport 993 -s 212.227.17.162 -j ACCEPT # imap.web.de iptables -A OUTPUT -p tcp --dport 587 -d 213.165.67.124 -j ACCEPT # smtp.web.de iptables -A INPUT -p tcp --dport 587 -s 213.165.67.124 -j ACCEPT # smtp.web.de # HTTP und HTTPS zulassen iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT # Den Rest blocken iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP ifconfig eno1 up echo LAN-Adapter wurder neu gestartet. echo echo Firewall wurde gestartet!!!!!! echo ip="$(ifconfig eno1 | grep inet)" echo $ip route add default gw 43.27.3.15 eno1
Um die Firewall beim Systemstart automatisch ausführen zu lassen habe ich mir iptables-persistant installiert. Funktioniert soweit alles. Meine ich zumindest. ipv6 habe ich deaktiviert. Ich hatte auch die Deaktivierung der LAN-Verbindung eingebaut weil ich dachte dass damit die establishten Verbindungen gekappt werden und dann die Regeln angewendet werden und dann die LAN-Verbindung erneut hergestellt wird.
Jetzt die Frage: Macht das alles Sinn so? Oder sieht jemand einen groben Fehler und ein ernstzunehmendes Risiko? Funktioniert das mit iptables-persistant auch zuverlässig, d.h. dass zuerst die Firewall gestartet wird bevor das System von aussen erreichbar wird?
Es geht mir hier nicht um die Verwendung eines GUI oder um kompaktere Schreibweisen oder irgendwelche Kosmetik!
Ach ja, die Dateirechte sehen so aus:
-rwx------ 1 root root 4,1K Feb 25 11:17 iptables
also mit
sudo chmod 700 iptables
Grüsse...