Router Empfehlung für Firewall (iptables o. ä.)

...ausser Du merkst nicht, das der Router/FW durchgestartet wurde...kleiner Glitch im Netz und das NT "folgt"...nach 30sec sieht alles "normal" von außen aus, aber die Scripte sind nicht mehr aktiv.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ja, meine ich natürlich nur für die Testzeit, bis ich mit den iptables erfolgreich war. :)
 
openwrt hat cron.
Beim neustart ein flag/datei setzten...dann im cron script starten, dass nach dem file sucht und wenn vorhanden, iptables aktivieren und file löschen.

- - - Updated - - -

...oder so :d
 
Warum denn alles so umständlich?
Anstatt die Datei zu editieren, kann man doch die Zeilen direkt auf der Console ausführen. Oder kann man nicht per SSH connecten?
 
Doch, kann man. Mir war/ist nur nicht bewusst, dass man die Regeln auch in der Console eingeben kann.
Mir war/ist nur der Weg über die Datei plus Neustart der Firewall bekannt. Werde ich also später mal zu dem Thema suchen.
 
...wobei eingeben schon anfälliger für Fehler ist...dabei würde man also wohl doch cut&paste aus einer Backup Datei machen...da kann man die Datei auch gleich auf dem Router speichern und als input für ein Script verwenden.
 
Und nun schon mal meine erste iptables-spezifische Frage, dazu hier mein Grundgerüst:

Code: 
# Delete Existing Rules
iptables -F

# Set default chain policies to DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Allow loopback access
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow Ping from inside to outside
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# Allow incoming HTTP
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# Allow outgoing HTTP
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# Allow incoming HTTPS
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

# Allow outgoing HTTPS
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

So wie ich es verstehe, muss ich eigentlich für alle "erwünschten Dienste" sowohl eingehende, als auch ausgehende Verbindungen erlauben (habe ich hier ja für HTTP und HTTPS bereits getan).

Muss ich das für Pings auch so handhaben (also auch noch "Allow Ping from outside to inside" hinzufügen)?

Wie sieht das bei folgenden Diensten aus?
DNS, FTP, IMAP, MAIL, NTP, POP3, SMTP (habe ich grundlegende vergessen?)

Ich selbst nutze diese Dienste nur "extern", habe also keinen FTP-, Mail-Server oder sonstiges in meinem Netzwerk, der von außen erreichbar sein muss! Muss ich also auch beispielsweise für meine FTP-Downloads incoming & outgoing auf Port 20 und 21 erlauben?

Und:
Lohnt es sich überhaupt, "erweiterten Schutz" (wie bei diesem Generator angegeben) mit zu integrieren, wenn der Router mit iptables hinter der Fritzbox (als Modem und Router) hängt (iptables sitzen dahinter, bringen also der Fritze direkt am Internet nix)?

Muss ich generell noch sowas wie
Code: 
# Add new policy
iptables -N GARBAGE

# Allow...

# Move invalid packages to GARBAGE
iptables -A INPUT -m state --state NEW,INVALID -j GARBAGE
einfügen, oder ist dies nur bei gewünschtem Logging der verworfenen Pakete notwendig (und es wird automatisch gedropt)?
 
...also, ich denke Du solltest evtl. einen eigenen fred aufmachen.
Was mir spontan auffällt: Deine sport Parameter sind wohl Grütze,
denn bei HTTP aus Deinem Heimnetz zu einer Website, ist der dport i.d.R. immer 80 und der sport irgendwas "freies", zwischen 1024 und 65535.

Damit dann sowas, wie es auch der von Dir verlinkte Generator macht:
# ausgehende Verbindungen
# Port 80
$iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I INPUT -i eth0 -p TCP --sport 80 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
Zum Vergrößern anklicken....
 
Ich habe mal ein eigenes Thema dazu aufgemacht. Ich habe auch feststellen müssen, dass sich mit weiterer Recherche doch immer mehr Fragen auftun. ;)
 
Anmelden, um zu antworten.

Ähnliche Themen

C
OpenWRT-Router an FritzBox für VR Brille
Antworten
1
Aufrufe
288
amdfreund
A
M
Firewall zwischen Fritzbox und FTTH Modem
Antworten
10
Aufrufe
1K
mephisto1111
M
S
[Kaufberatung] Ablösung Fritzbox 7490 - DECT + Wireguard - Alternativen
Antworten
16
Aufrufe
2K
p4n0
p4n0
M
2 Router mit jeweils eigenem Internetzugang über LAN verbinden
Antworten
8
Aufrufe
501
Hexcode
H
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
1K
BobbyD
BobbyD
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh