Linux IP Tables

Canna

Junior Member
Ich habe bei einem anderen Anbieter folgende IP Tables gefunden:


Code:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT #allow loopback access
iptables -A OUTPUT -d 255.255.255.255 -j ACCEPT #make sure you can communicate with any DHCP server
iptables -A INPUT -s 255.255.255.255 -j ACCEPT #make sure you can communicate with any DHCP server
iptables -A INPUT -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT #make sure that you can communicate within your own network
iptables -A OUTPUT -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -i eth+ -o tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth+ -j ACCEPT # make sure that eth+ and tun+ can communicate
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE # in the POSTROUTING chain of the NAT table, map the tun+ interface outgoing packet IP address, cease examining rules and let the header be modified, so that we don't have to worry about ports or any other issue - please check this rule with care if you have already a NAT table in your chain
iptables -A OUTPUT -o eth+ ! -d a.b.c.d -j DROP # if destination for outgoing packet on eth+ is NOT a.b.c.d, drop the packet, so that nothing leaks if VPN disconnects

Vorraussetzung IPv6 ist deaktiviert.

Hier der original Beitrag: https://airvpn.org/topic/9139-prevent-leaks-with-linux-iptables/
Dies soll keine Fremdwerbung sein. Ich bin ausschließlich Perfect-Privacy Kunde.

Was haltet ihr von dieser Umsetzung ?

Als Linux Neuling finde ich hier im Forum die ganzen verschiedenen IP Tables Threads sehr unübersichtlich.
Es wäre toll wenn es mal EINEN übersichtlichen Thread für Debian bzw. Ubuntu und dessen Derivate geben würde. Dieser sollte die Konfiguration und Speicherung der IP Tables enthalten. Die IP Tables sollten IPv4/v6 abdecken, am besten "wasserdicht" sein.

So wieder zum Anfang.

Ist das obrige Script auch für Perfect-Privacy verwendbar ?

Ist das gepostete von JackCarver zum Schutz vor IP Leaks besser geeignet ? (https://board.perfect-privacy.com/threads/linux-absichern-mit-den-iptables.343/) Danke an JackCarver

Es wäre toll wenn von Perfect-Privacys Seite mal "wasserdichte" IP Tables gepostet werden. Bitte nicht falsch verstehen ich bin jedem User für seine Beiträge hier im Forum dankbar, außerdem bin ansonsten super zufrieden mit Perfect-Privacy! Danke noch mal an dieser Stelle!

Hier kann sich gerne jeder beteiligen und mitdiskutieren.

Gruß euer Canna
 
Ich kann nur immer wieder darauf hinweisen, ein ipttables frontend zu verwenden, welches auch die "nebensächlichen" iptables-Werte berücksichtigt und wirklich alles setzt.
shorewall und shorewall6 sind solche Frontends. Sie sind gut dokumentiert und von Experten geschrieben, die sich richtig gut mit iptables und dem Linux Network-stack auskennen.
Das Format der "rules" ist auch deutlich übersichtlicher als das iptables-lingo
 
Ich kann nur sagen, dass es funktioniert.
Wenn die VPN Verbindung unterbrochen wird, dann geht nichts mehr.
So soll es auch sein.

Vielleicht hat @theoth eine Anleitung für die Umsetzung mit shorewall und shorewall6 und poset diese hier.
Mit Mint 18 und dem aktuellen Ubuntu funktioniert Jacks Firewall leider nicht mehr. Man kann sie zwar aktivieren aber sie bleibt ohne Wirkung. Vielleicht hat er ja irgendwann mal Lust, das wieder auf Vordermann zu bringen denn es klappte reibungslos und zuverlässig. Aber falls er keine Lust mehr hat: Kann mir wer ein Buch empfehlen, dass Anleitungen für IPTables enthält und man sich selbst was basteln kann? Ich kann mir nichts Gescheites ergoogeln bzw. sind die Beschreibungen der Bücher meist sehr knapp. Und diese Bücher sind ja nicht gerade billig...
 
@Antares
Du musst schauen, wie deine Netzwerkadapter heißen und dann das Script so bearbeiten, dass die Netzwerkadapter im Script so heißen, wie im System
https://board.perfect-privacy.com/threads/linux-absichern-mit-den-iptables.343/page-8#post-16558

#!/bin/bash

#Iptables Regeln für VPN:

sudo iptables -t filter -A OUTPUT -o wlan0 -p udp -m multiport --dports 1149,149,1150,150,1151,151,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o wlan0 -p tcp -m multiport --dports 1152,152 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o enp2s0 -p udp -m multiport --dports 1149,149,1150,150,1151,151,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o enp2s0 -p tcp -m multiport --dports 1152,152 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o enp3s0 -p udp -m multiport --dports 1149,149,1150,150,1151,151,53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o enp3s0 -p tcp -m multiport --dports 1152,152 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i wlan0 -p udp -m multiport --sports 1149,149,1150,150,1151,151,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i wlan0 -p tcp -m multiport --sports 1152,152 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i enp2s0 -p udp -m multiport --sports 1149,149,1150,150,1151,151,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i enp2s0 -p tcp -m multiport --sports 1152,152 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i enp3s0 -p udp -m multiport --sports 1149,149,1150,150,1151,151,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i enp3s0 -p tcp -m multiport --sports 1152,152 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT --dst 192.168.0.0/16 -j ACCEPT
sudo iptables -t filter -A INPUT --src 192.168.0.0/16 -j ACCEPT
sudo iptables -t filter -A OUTPUT --dst 10.0.0.0/8 -j ACCEPT
sudo iptables -t filter -A INPUT --src 10.0.0.0/8 -j ACCEPT
sudo iptables -t filter -A OUTPUT --dst 172.16.0.0/12 -j ACCEPT
sudo iptables -t filter -A INPUT --src 172.16.0.0/12 -j ACCEPT

sudo iptables -t filter -A OUTPUT -o wlan0 -j DROP
sudo iptables -t filter -A INPUT -i wlan0 -j DROP
sudo iptables -t filter -A OUTPUT -o enp2s0 -j DROP
sudo iptables -t filter -A INPUT -i enp2s0 -j DROP
sudo iptables -t filter -A OUTPUT -o enp3s0 -j DROP
sudo iptables -t filter -A INPUT -i enp3s0 -j DROP
 
@Ghost
Damit werde ich mich mal beschäftigen. Da habe ich bestimmt nochmal eine Frage an dich. Aber damit kann ich mir mal was darunter vorstellen. Das war schon mal sehr hilfreich. Ich danke dir. :)
 
Back
Top