ubuntuusers.de

hehe 😊 Nö möchte das Internet nicht einschränken. Halt nur, dass man über Port 8080 vom Client ins Netz darf und nicht über 80. Dachte die iptables regeln was rein und raus darf und nicht das Gateway.

weiß das es nicht gerade ellegant ist, aber outlook ruft und versendet die mails. Denke Outlook baut ne Verbindung zu den Severn von web und msn auf und verschickt die dann von dort. DAS ganze soll auf den Clients möglich sein. Habe ältere Accounts mit POP und neuere mit IMAP.

Mit Gateway meine ich ja Deinen Rechner, auf dem Ubuntu/Squid läuft. Du willst aber, das Internet nur über den Proxy geht, ja?

jup nur über 8080. meine hätte dann ja keine Einschränkugen auf den Clients. Können ja munter weiter surfen.

Also brauchst Du ungefähr Regeln:

• Vom LAN ins Internet auf Port 25/110/143 erlauben und NATten

• Rest vom LAN ins Internet verbieten

• Vom LAN aufs Gateway auf Port 22/8080 erlauben

• Rest vom LAN aufs Gateway verbieten

Richtig verstanden? Das wird nämlich überschaubar.

ja eine Sache muss ich noch ergänzen. FTP soll auch vom LAN –→ Internet verfügbar sein. Ok ich versuchs jetzt mal....

irgendwie krieg ich das nicht auf die Kette. Möchte mal ganz einfach anfangen und einfach den Port 80 für alle Clients sperren

Probiere das hier doch mal aus.

http://easyfwgen.morizot.net/gen/ Wobei ich aber keine Gewähr auf den Generator gebe.

Gruß anyone

naja das Ding spcukt ne IP,Maske und ne Broadcastaddy aus^^ Bring gar nichts sry,.

hänsel88 schrieb:

naja das Ding spcukt ne IP,Maske und ne Broadcastaddy aus^^ Bring gar nichts sry,.

ehmm es spuckt diese aus, weil du diese manuell einstellen und dann auf generate firewall klicken musst...

ja hast recht und wie führt man das ding aus?

hänsel88 schrieb:

irgendwie krieg ich das nicht auf die Kette. Möchte mal ganz einfach anfangen und einfach den Port 80 für alle Clients sperren

Also, bassemaluff: Alle Pakete, die Dein Router weiterleitet ins Internet, gehen durch die FORWARD-Chain. Dort machst Du folgendes:

iptables -I FORWARD -p tcp --dport 80 -j REJECT

Damit erstellst Du ganz am Anfang (-I) der FORWARD-Chain eine Regeln, die alles mit Port 80 als Ziel verbietet.

Der Weg ist übrigens richtig, langsam anfangen und dann steigern, bis es klick macht.

ok heute wieder neuinstalliert, aber kann etwas positives vermelden.

Komm jetzt vom Windows Client nicht mehr auf den Ubuntu außer über Port 22, 8080, 137,138,139. Kleines Problem ist der Proxy geht zwar dran und fragt nach nem Passwort, aber baut keine Verbindung zum Internet auf....

Port 80 ist wie gewollt tot

iptables -F INPUT
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT

iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 20:21 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 110 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 143 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m tcp -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state --state NEW -p icmp -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE