Iptables-Beispiel: Difference between revisions
(Die Seite wurde neu angelegt: „Iptables ist die Linux-Firewall für Arme. <br> Sinnvoll ist in jedem Fall erstmal alles zu verbieten und dann nach und nach die Dinge zu erlauben, die man brauc…“) |
No edit summary |
||
| Line 8: | Line 8: | ||
gefunden wird. |
gefunden wird. |
||
<br> |
<br> |
||
In diesem Beispiel soll ssh und grafisches Login auf |
In diesem Beispiel soll ssh und grafisches Login auf einen VMware-Server erlaubt werden. |
||
Allen Input verbieten (Policy) |
Allen Input verbieten (Policy) |
||
Latest revision as of 21:58, 6 February 2016
Iptables ist die Linux-Firewall für Arme.
Sinnvoll ist in jedem Fall erstmal alles zu verbieten und dann nach und nach die
Dinge zu erlauben, die man braucht. Iptables funktioniert nach dem Prinzip
"First match wins", d.h. die erste zutreffende Regel wird ausgeführt, die
restlichen Regeln werden nicht mehr angewendet. Eine Ausnahme sind die Policies
(Parameter -P). Diese treffen erst dann zu, wenn keine speziellere Regel
gefunden wird.
In diesem Beispiel soll ssh und grafisches Login auf einen VMware-Server erlaubt werden.
Allen Input verbieten (Policy)
iptables -P INPUT DROP
Antworten auf bestehende tcp-Verbindungen erlauben (stateful Filter)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ssh und ping erlauben
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT
allow all VMware MUI HTTP traffic to the management interface NIC
iptables -I INPUT 3 -j ACCEPT -p TCP -d 192.168.63.128 --destination-port 8222
allow all VMware MUI HTTPS traffic to the management interface NIC
iptables -I INPUT 4 -j ACCEPT -p TCP -d 192.168.63.128 --destination-port 8333
allow all VMware Authorization Daemon traffic to the management interface NIC
iptables -I INPUT 5 -j ACCEPT -p TCP -d 192.168.63.128 --destination-port 902
ausgehende Verbindungen generell erlauben
iptables -P OUTPUT ACCEPT