Eigenes IP-Tables Script einbinden

Hinweis: In dem Thema Eigenes IP-Tables Script einbinden gibt es 12 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Hallo,


    kann mir jemand sagen wie ich mein IP-Tables Script unter Linux Suse 13.2 einbinden kann?
    Das dann auch beim Starten des Rechners mit lädt?
    Auf meinem Handy konnte ich es unter AFWall einfach mit einer Pfadangabe . /../.../iptables.sh machen.
    Dort muss/kann man ein Start und Endscript einfügen.
    Nur weiss ich nicht wo ich es unter LinuxSuSe (Desktop) speichern soll.
    Bitte um Hilfe. ;(


    Viele Grüße

  • Was macht dieses Script denn?
    Wozu brauchst du es?


    Es gibt viele verschiedene Wege Scripte zu starten.
    Und das ist ja schon etwas heikel.
    Da sollte man schon die "richtige Methode wählen.

    Für den Inhalt des Beitrages 87005 haftet ausdrücklich der jeweilige Autor: LinuPia

  • Alf1967


    Danke schonmal für den Tipp.

    Was macht dieses Script denn?
    Wozu brauchst du es?

    1. Das ist ein bzw. das Script für die Firewall.
    2. Um ausgehende Dienste etc zu blockieren.


    Wieso?/ Weshalb?/ Warum?


    Weil ich so wenig Traffic wie möglich nach draußen haben möchte.
    Funktioniert bei meinem Pohne auch.


    Nur leider habe ich nur Anleitungen für Ubuntu/Debian gefunden, ist halt etwas anders als OpenSuse.
    Würde mir ja Debian draufschmeissen (Schon getestet in einer VM), nur bekomme ich es noch noch so hin wie es sein soll ;), deshalb erstmal OpenSuse =).


    Bei Deain gibt es wohl schon die iptables.sh datei welche man erzen bzw. ändern kann (Eigenes IPT-Script)
    Habe es bei Suse leider nicht gefunden.


    Weiss auch nicht wie man das über das Terminal macht.


    /usr/sbn/iptables --version


    Zeigt mir:


    iptables v1.4.21 an.


    Und wie hol ich mein angepasstes Script jetzt rein, so das es auch vorm/beim Systemboot startet/ausgeführt wird? Und wo speichert man das iptables. sh am besten?

  • Ich könnte schon einige Methoden schreiben, nur scheint mir, dass dir nicht klar ist, was du da tust.
    Das ist eine ziemlich heikle Sache.
    Und meistens wird durch solche Operationen das Gegenteil erreicht: Der Schutz wird drastisch verringert.


    Ich würde gerne vorher dieses Script sehen.
    Poste es bitte.

    Für den Inhalt des Beitrages 87975 haftet ausdrücklich der jeweilige Autor: LinuPia

  • @ LinuPia


    Bei meinem Linx kann nichts passieren, da es Quasi ein (Testsystem) in einer Virtuellen Box ist ;).
    Sonst würde ich garnicht so etwas ausprobieren.


    Mir geht es nur darum die Firewall auch zu nutzen.
    Unter Windoof habe ich auch immer die Ausgehdenen Porg & Dienste blockiert und nur das rausgelassen was wirklich nötig war.
    +Freie DNS etc.


    So ähnlich möchte ich bei Linux dann auch vorgehen.
    Lass mir auch genre eklären, warum man das vielleicht nicht machen sollte =)


    Das Script muss ich nochmal raussuchen.

  • Mir geht es nur darum die Firewall auch zu nutzen.
    Unter Windoof habe ich auch immer die Ausgehdenen Porg & Dienste blockiert und nur das rausgelassen was wirklich nötig war.
    +Freie DNS etc.


    So ähnlich möchte ich bei Linux dann auch vorgehen.


    Genau das macht die SuseFirewall. Wenn die aktiv ist, werden alle eingehenden Ports geblockt und nur explizit freigegebene Ports geöffnet, Da braucht es kein Script.

  • Scheinbar hält sich immer noch hartnäckig das Gerücht, das bei opensuse erst einmal eine eigene Firewall eingerichtet werden muß. Das ist Unfug. Bei opensuse sind alle Ports von Haus aus geschlossen. Und da braucht man kein Script um das Fahrrad neu zu erfinden. Jeder der bisher in der Firewall herumgemalt hat, hat es hinterher bereut weil gar nichts mehr ging oder das System offen war wie ein Scheunentor.
    Die opensuse-Firewall ist für den Normalanwender ausreichend konfiguriert und schon seit der Installation eingeschaltet. Bei einigen *buntu ist das anders. Da muß die von Hand eingeschaltet werden. Das hat aber damit zu tun, das auf den *buntus einige Dienste gar nicht erst installiert sind.
    Von daher ist ein Script nicht nur überflüssig sondern sogar höchst gefährlich, wenn man sich nicht wirklich mit der Materie auskennt.
    Wer sich wirklich mit der Materie auskennt fragt nicht, wo in Linux die Firewall-Scripte liegen. Der weiß das.


  • Genau das macht die SuseFirewall. Wenn die aktiv ist, werden alle eingehenden Ports geblockt und nur explizit freigegebene Ports geöffnet, Da braucht es kein Script.



    Wenn man Ports freigeben wollen würde, würde das auch über Yast/ Firewall-einstellungen gehen (das weiß ich)


    Und wenn man bestimmte IP-Ranges blockieren will (eingehend+ausgehend)
    darf man auch nicht in das SuSEfirewall-custom Script hinzufügen?
    zB.
    iptables -A OUTPUT -d 31.13.24.0/20 -j REJECT

  • Ich habe es jetzt selbst herausgefunden.


    Wenn man zusätzlich IPs oder IPranges von Datenkraken blockieren möchte, kann man wie folgt vorgehen:


    (Bevor ich das gemacht habe, Wurde von mir aus eine Ping-Anfrage zu entsprechenden IP´s über das Terminal eingegeben. zB.Terminal: ping -c4 69.63.176.13 sendet und empfängt 4 Pakete.)


    IP-Ranges über die Firewall blockieren :



    1] Die Suse Firewall 2 in YAST2 aktiviren. (falls nich nicht aktiviert, sollte bei SuSE 13.2 aber schon angeschaltet sein!)


    2] “custom scripts” in der Datei /etc/sysconfig/scripts/SuSEfirewall2-custom anpassen
    unter dem Schlüssel (Zeile67) fw_custom_before_denyall()— hier der Auszug aus der Datei /etc/sysconfig/scripts/SuSEfirewall2- custom—-
    (Geöffnete Datei SuSEfirewall2-costum mit F11 Zeilennummern einblenden)
    ….
    3] fw_custom_before_denyall() { # could also be named “after_forwardmasq()”
    # these are the rules to be loaded after IP forwarding and masquerading
    # but before the logging and deny all section is set by SuSEfirewall2.
    # You can use this hook to prevent the logging of annoying packets.


    4] #-j REJECT following source ranges (übermittelt ein sogenanntes ICMP destination-unreachable Paket , damit keine
    Verbindung mehr aufgebaut werden kann.)


    iptables -A OUTPUT -d 31.13.24.0/21 -j REJECT
    iptables -A OUTPUT -d 31.13.64.0/18 -j REJECT
    iptables -A OUTPUT -d 66.220.144.0/20 -j REJECT
    iptables -A OUTPUT -d 69.63.176.0/20 -j REJECT
    iptables -A OUTPUT -d 69.171.224.0/19 -j REJECT
    iptables -A OUTPUT -d 74.119.76.0/22 -j REJECT
    iptables -A OUTPUT -d 103.4.96.0/22 -j REJECT
    iptables -A OUTPUT -d 173.252.64.0/18 -j REJECT
    iptables -A OUTPUT -d 204.15.20.0/22 -j REJECT


    # iptables -A INPUT -s 204.15.20.0/22 -j REJECT (INPUT -s für ankommend, OUTPUT -d für ausgehend)



    5] In der Datei /etc/sysconfig/SuSEfirewall2den Pfad zur custom rule wie folgt aktivieren (Zeile 873):


    # This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
    # READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
    #
    FW_CUSTOMRULES=”/etc/sysconfig/scripts/SuSEfirewall2-custom”
    #FW_CUSTOMRULES=””


    6] Firewall stoppen und wieder starten um neue Rule zu aktivieren im Terminal eingeben!!


    7] SuSEfirewall2 stop
    SuSEfirewall2 start


    8] Im Terminal zur Kontrolle eingeben (Listet die iptables-Regeln auf):
    iptables -L