Logan Zufall
Junior Member
Hallo,
ich würde mich freuen wenn mal einer über mein Script drüber schaut ob ich das gemacht habe wie ich mir das denke
IPv6 habe ich fast ganz erstmal außen vorgelassen in dem ich es in /etc/sysctl.conf deaktiviert habe..
Meine "ifconfig"
1. Nun sollte ich nach dem ausführen des scripts die iptables permant ändern können anhand dieser https://board.perfect-privacy.com/threads/linux-absichern-mit-den-iptables.343/page-6#post-7071 Anleitung oder ?
2. Ich müsste doch alles blockiert haben.. außer den Zugriff aus 192.168.*.* Netz , DNS Port 35 (TCP+UDP) und die entsprechenden Ports für den Verbindungsaufbau zum PP Server.
Wenn noch jemand Tipps hat, was ich noch blockieren sollte/kann bzw wie ich noch weniger freigeben kann ohne Funktionsverlust, würde ich mich über eine Antwort freuen.
Meine hilfreichen Links bzw Webseiten zu dem Thema:
Rein gehauen
Logan
ich würde mich freuen wenn mal einer über mein Script drüber schaut ob ich das gemacht habe wie ich mir das denke
IPv6 habe ich fast ganz erstmal außen vorgelassen in dem ich es in /etc/sysctl.conf deaktiviert habe..
Meine "ifconfig"
eth0 - LAN
lo - Local Loopback..
tun0 - TUN Adapter
wlan0 - wird nicht verwendet
lo - Local Loopback..
tun0 - TUN Adapter
wlan0 - wird nicht verwendet
PHP:
# Interface-Definitionen
# 192.168.0.0/16 = Subnetz 255.255.0.0
# Das Regelwerk loeschen
sudo iptables -F
# Alles, was nicht explizit erlaubt wird, ist verboten; setzen Sie die Policy für alle drei Ketten
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
# Stateful Inspection erlauben
sudo iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# IPv6 in IPv4 blocken (3. Regel mir unsicher)
sudo iptables -t filter -A INPUT -p 41 -j DROP
sudo iptables -t filter -A FORWARD -p 41 -j DROP
sudo iptables -t filter -A OUTPUT -p 41 -j DROP
# Enable local access from lan
sudo iptables -t filter -A OUTPUT --dst 192.168.0.0/16 -j ACCEPT
sudo iptables -t filter -A INPUT --src 192.168.0.0/16 -j ACCEPT
# Loopback-Kommunikation erlauben
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT
sudo iptables -t filter -A INPUT -i lo -j ACCEPT
# Kommunikation über TUN Adapter zum VPN erlauben
sudo iptables -t filter -A OUTPUT -o tun0 -j ACCEPT
sudo iptables -t filter -A INPUT -i tun0 -j ACCEPT
# Allow DNS(53) and ports for vpn server connection (UDP Preset)
sudo iptables -t filter -A OUTPUT -o eth0 -p udp -m multiport --dports 53,149,150,151,1149,1150,1151 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o eth0 -p tcp -m multiport --dports 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i eth0 -p udp -m multiport --sports 53,149,150,151,1149,1150,1151 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --sports 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
1. Nun sollte ich nach dem ausführen des scripts die iptables permant ändern können anhand dieser https://board.perfect-privacy.com/threads/linux-absichern-mit-den-iptables.343/page-6#post-7071 Anleitung oder ?
2. Ich müsste doch alles blockiert haben.. außer den Zugriff aus 192.168.*.* Netz , DNS Port 35 (TCP+UDP) und die entsprechenden Ports für den Verbindungsaufbau zum PP Server.
Wenn noch jemand Tipps hat, was ich noch blockieren sollte/kann bzw wie ich noch weniger freigeben kann ohne Funktionsverlust, würde ich mich über eine Antwort freuen.
Meine hilfreichen Links bzw Webseiten zu dem Thema:
# http://www.admin-magazin.de/Das-Heft/2014/04/Ein-Basisregelwerk-mit-IP6Tables/(offset)/2
# https://www.ripe.net/about-us/press-centre/understanding-ip-addressing
# https://de.wikibooks.org/wiki/Linux-Praxisbuch:_Linux-Firewall_mit_IP-Tables
# https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
# https://airvpn.org/faq/software_lock/
# https://www.ripe.net/about-us/press-centre/understanding-ip-addressing
# https://de.wikibooks.org/wiki/Linux-Praxisbuch:_Linux-Firewall_mit_IP-Tables
# https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
# https://airvpn.org/faq/software_lock/
Rein gehauen
Logan