nbkr
Guru
Hallo,
ich habe mir ein kleines Script geschrieben mit dem ich meine iptables Firewall konfiguriere. Soweit läuft das Script auch, nur funktioniert der Zugriff mittels IMAP dann nicht mehr richtig. Es dauert ewig und dann sagt mir Evolution es kann keine Verbindung herstellen. Anbei mal das Script. Was habe ich falsch gemacht, bzw. was könnte man besser machen?
ich habe mir ein kleines Script geschrieben mit dem ich meine iptables Firewall konfiguriere. Soweit läuft das Script auch, nur funktioniert der Zugriff mittels IMAP dann nicht mehr richtig. Es dauert ewig und dann sagt mir Evolution es kann keine Verbindung herstellen. Anbei mal das Script. Was habe ich falsch gemacht, bzw. was könnte man besser machen?
Code:
#!/bin/bash
IPTABLES="/sbin/iptables";
case $1 in
start)
## Allgemeine Konfiguration
## Policy auf DROP setzen.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
## Loggin
$IPTABLES -A INPUT -j LOG --log-level INFO;
$IPTABLES -A OUTPUT -j LOG --log-level INFO;
## Serverkonfiguration
## SSH zulassen (zweite Zeile bewirkt immmer das der Rechner hier auch antworten kann)
## Hinzu kommt der Punkt, dass manche Dienst auch über UDP komunizieren müssen.
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT;
## FTP zulassen
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 21 -j ACCEPT;
## Datenport bei Active FTP
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 20 -j ACCEPT;
## Passives FTP zulassen (bin nicht sicher ob es 100% passt, scheint aber danach
#$IPTABLES -A INPUT -p TCP --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
#$IPTABLES -A OUTPUT -p TCP --sport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
## HTTP
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 80 -j ACCEPT;
## HTTPS
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 443 -j ACCEPT;
#POP3
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 110 -j ACCEPT;
#IMAP2
$IPTABLES -A INPUT -p tcp --dport 143 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 143 -j ACCEPT;
$IPTABLES -A INPUT -p udp --dport 143 -j ACCEPT;
$IPTABLES -A OUTPUT -p udp --sport 143 -j ACCEPT;
#IMAPs
$IPTABLES -A INPUT -p tcp --dport 993 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 993 -j ACCEPT;
$IPTABLES -A INPUT -p udp --dport 993 -j ACCEPT;
$IPTABLES -A OUTPUT -p udp --sport 993 -j ACCEPT;
## SMTP
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 25 -j ACCEPT;
# PORT 16000 öffnen - um das Mailen auch bei gesperrtem Port 25 zu ermöglichen.
$IPTABLES -A INPUT -p tcp --dport 16000 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 16000 -j ACCEPT;
## eingehenden Ping zulassen
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT;
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT;
## auth
$IPTABLES -A INPUT -p tcp --dport 113 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --sport 113 -j ACCEPT;
$IPTABLES -A INPUT -p udp --dport 113 -j ACCEPT;
$IPTABLES -A OUTPUT -p udp --sport 113 -j ACCEPT;
## Clientkonfiguration
## SSH zulassen (zweite Zeile bewirkt immmer das der Rechner hier auch antworten kann)
$IPTABLES -A INPUT -p tcp --sport 22 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT;
## FTP zulassen
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT;
$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT;
## Passives FTP zulassen
$IPTABLES -A INPUT -p TCP --sport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
## HTTP
$IPTABLES -A INPUT -p tcp --sport 80 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT;
## HTTPS
$IPTABLES -A INPUT -p tcp --sport 443 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT;
## POP3
$IPTABLES -A INPUT -p tcp --sport 110 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 110 -j ACCEPT;
## SMTP
$IPTABLES -A INPUT -p tcp --sport 25 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 25 -j ACCEPT;
## DNS
$IPTABLES -A INPUT -p tcp --sport 53 -j ACCEPT;
$IPTABLES -A OUTPUT -p tcp --dport 53 -j ACCEPT;
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT;
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT;
## ausgehenden Ping zulassen
$IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT;
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT;
## Routerkonfiguration
;;
stop)
## Policy auf ACCEPT setzen.
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
## Alle Regeln löschen
$IPTABLES --flush
;;
restart)
/etc/init.d/nbfirewall stop
/etc/init.d/nbfirewall start
;;
*)
echo "Usage: nbfirewall (start|stop)";
;;
esac