Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: ubuntu-firewall  (gelezen 1485 keer)

adrie

  • Gast
ubuntu-firewall
« Gepost op: 2008/03/22, 09:42:25 »
Voorheen kon ik met firestarter bepaalde ip adressen toegang geven tot bepaalde poorten. Dit als extra beveiliging.
Nu heb ik omdat ik firestarter niet kan gebruiken onder ubuntu-server, ubuntu-firewall gebruikt.
Het script doet wat ik wil behalve dat ik alle ip-adressen wil blocken behalve enkele uitzonderingen, of reeks.

Wie weet een manier om dit op te lossen.

Offline jan11000

  • Lid
ubuntu-firewall
« Reactie #1 Gepost op: 2008/03/22, 09:50:34 »
Programma die je noemt ken ik niet.
Probeer anders eens guarddog, hier zit een grafische schil bij.

Offline ivo

  • Lid
ubuntu-firewall
« Reactie #2 Gepost op: 2008/03/22, 09:58:53 »
#!/bin/bash  
iptables --flush  
iptables -P INPUT DROP  
iptables -P FORWARD DROP  
iptables -P OUTPUT DROP  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A OUTPUT -o lo -j ACCEPT  
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT  
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dport 80,443 -j ACCEPT  
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dit is slechts een voorbeeld.
De truc is dat je default alles tegenhoudt (DROP).
Dan definieer je daarna wat je expliciet wel wilt toestaan.
There are only 10 types of people in the world; those who understand binary and those who don't.

adrie

  • Gast
ubuntu-firewall
« Reactie #3 Gepost op: 2008/03/22, 10:01:24 »
Citaat van: jan11000
Programma die je noemt ken ik niet.
Probeer anders eens guarddog, hier zit een grafische schil bij.
Het probleem is dat ik geen grafische schil wil, cq nodig heb.

adrie

  • Gast
ubuntu-firewall
« Reactie #4 Gepost op: 2008/03/22, 10:02:47 »
Citaat van: ivo
#!/bin/bash  
iptables --flush  
iptables -P INPUT DROP  
iptables -P FORWARD DROP  
iptables -P OUTPUT DROP  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A OUTPUT -o lo -j ACCEPT  
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT  
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dport 80,443 -j ACCEPT  
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dit is slechts een voorbeeld.
De truc is dat je default alles tegenhoudt (DROP).
Dan definieer je daarna wat je expliciet wel wilt toestaan.
Even voor de duidelijkheid voor mij.
Het script ubuntu-firewll dat ik nu gebruik dient dan uitgeschakeld te worden?

adrie

  • Gast
ubuntu-firewall
« Reactie #5 Gepost op: 2008/03/22, 10:04:14 »
Citaat van: adrie
Citaat van: ivo
#!/bin/bash  
iptables --flush  
iptables -P INPUT DROP  
iptables -P FORWARD DROP  
iptables -P OUTPUT DROP  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A OUTPUT -o lo -j ACCEPT  
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT  
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dport 80,443 -j ACCEPT  
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dit is slechts een voorbeeld.
De truc is dat je default alles tegenhoudt (DROP).
Dan definieer je daarna wat je expliciet wel wilt toestaan.
Even voor de duidelijkheid voor mij.
Het script ubuntu-firewll dat ik nu gebruik dient dan uitgeschakeld te worden?
Het gaat mij erom bepaalde ip-adressen toe te laten die zij ik niet terug hierboven.

Offline ivo

  • Lid
ubuntu-firewall
« Reactie #6 Gepost op: 2008/03/22, 13:37:35 »
Dat Ubuntu-firewall is toch niets anders dan de aansturing van iptables?
iptables is nl. de default firewall in Ubuntu.

Je moet maar even op google zoeken, daar zijn voorbeelden te over te vinden van iptables configuraties.

Zoek maar eens op
voorbeeld iptables configuratie
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline ivo

  • Lid
ubuntu-firewall
« Reactie #7 Gepost op: 2008/03/22, 13:46:10 »
Op je eigen systeem staat waarschijnlijk ook een voorbeeld:

/usr/share/doc/openvpn/examples/sample-config-files/firewall.sh
There are only 10 types of people in the world; those who understand binary and those who don't.

adrie

  • Gast
ubuntu-firewall
« Reactie #8 Gepost op: 2008/03/22, 14:41:02 »
Ok, bedankt voor je advies.

ubuntu-firewall
« Reactie #9 Gepost op: 2008/03/22, 15:34:21 »
Citaat van: ivo
#!/bin/bash  
iptables --flush  
iptables -P INPUT DROP  
iptables -P FORWARD DROP  
iptables -P OUTPUT DROP  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A OUTPUT -o lo -j ACCEPT  
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT  
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dport 80,443 -j ACCEPT  
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dit is slechts een voorbeeld.
De truc is dat je default alles tegenhoudt (DROP).
Dan definieer je daarna wat je expliciet wel wilt toestaan.
Ff vraagje: ik begreep dat je het DROP-gedeelte pas achteraan moet zetten, omdat je anders alles DROPT, ook al heb je daarna de uitzonderingen ingegeven...
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline ivo

  • Lid
ubuntu-firewall
« Reactie #10 Gepost op: 2008/03/22, 20:53:00 »
@Crashit

Dat kan zijn dat jij dat zo begrijpt, daar kan ik niets aan doen :-)
Het werkt in ieder geval niet zo. Dat wij mensen geneigd zijn iets van links naar rechts en van boven naar beneden te lezen is een ander verhaal......
There are only 10 types of people in the world; those who understand binary and those who don't.

adrie

  • Gast
ubuntu-firewall
« Reactie #11 Gepost op: 2008/03/23, 15:39:03 »
Bedankt voor de hulp.
Ik heb wat ik wilde bereikt met gebruik van shorewall.
Met behulp van webmin is de configuratie gelukt.