Changes for page RangeeOS - Firewall mit ipables Skript
Last modified by Tobias Wintrich on 2022/10/28 12:30
From version 14.1
edited by Tobias Wintrich
on 2022/10/28 10:18
on 2022/10/28 10:18
Change comment:
There is no comment for this version
To version 12.1
edited by Tobias Wintrich
on 2022/10/28 10:15
on 2022/10/28 10:15
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -14,9 +14,21 @@ 14 14 15 15 Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen. 16 16 17 +In folgenden Beispielen werden diese Parameter von iptables verwendet: 18 + 19 +{{{-A => --append 20 +-p => --protocol 21 +-s => --source 22 +-m => --match 23 +-j => --jump 24 +-F => --flush 25 +-P => --policy 26 +--dport => --destination-ports}}} 27 + 17 17 {{info}} 18 -Weitere Informationen zur Verwendung von iptables finden Sie hier: * [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]]29 +Weitere Informationen zur Verwendung von iptables finden Sie hier: 19 19 31 +* [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]] 20 20 * [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]] 21 21 {{/info}} 22 22 ... ... @@ -38,19 +38,19 @@ 38 38 39 39 **Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von dem 24er Subnetz 192.168.255.0/24:** 40 40 41 -{{{iptables --append INPUT --protocol tcp --d estination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}}53 +{{{iptables --append INPUT --protocol tcp --dport 443 --source 192.168.255.0/24 --jump ACCEPT}}} 42 42 43 43 **Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP 192.168.255.56/32:** 44 44 45 -{{{iptables --append INPUT --protocol tcp --d estination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}}57 +{{{iptables --append INPUT --protocol tcp --dport 22 --source 192.168.255.56/32 --jump ACCEPT}}} 46 46 47 47 **Erlaubt VNC zum Client auf Port 5900 TCP vom 16er Subnetz 192.168.0.0/16:** 48 48 49 -{{{iptables --append INPUT --protocol tcp --d estination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}}61 +{{{iptables --append INPUT --protocol tcp --dport 5900 --source 192.168.0.0/16 --jump ACCEPT}}} 50 50 51 51 **Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP vom 16er Subnetz 192.168.0.0/16:** 52 52 53 -{{{iptables --append INPUT --protocol tcp --d estination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}}65 +{{{iptables --append INPUT --protocol tcp --dport 80 --source 192.168.0.0/16 --jump ACCEPT}}} 54 54 55 55 **Erlaubt ICMP (Ping) von überall** 56 56 ... ... @@ -74,14 +74,14 @@ 74 74 iptables --flush 75 75 iptables --policy INPUT DROP 76 76 iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT 77 -iptables --append INPUT --protocol tcp --d estination-port 443 --source 192.168.255.0/24 --jump ACCEPT89 +iptables --append INPUT --protocol tcp --dport 443 --source 192.168.255.0/24 --jump ACCEPT 78 78 79 79 # Erlaube SSH Admin PC 80 -iptables --append INPUT --protocol tcp --d estination-port 22 --source 192.168.255.56/32 --jump ACCEPT92 +iptables --append INPUT --protocol tcp --dport 22 --source 192.168.255.56/32 --jump ACCEPT 81 81 82 82 # Erlaube VNC 83 -iptables --append INPUT --protocol tcp --d estination-port 5900 --source 192.168.0.0/16 --jump ACCEPT84 -iptables --append INPUT --protocol tcp --d estination-port 80 --source 192.168.0.0/16 --jump ACCEPT95 +iptables --append INPUT --protocol tcp --dport 5900 --source 192.168.0.0/16 --jump ACCEPT 96 +iptables --append INPUT --protocol tcp --dport 80 --source 192.168.0.0/16 --jump ACCEPT 85 85 86 86 # Erlaube PING 87 87 iptables --append INPUT --protocol icmp --jump ACCEPT}}} ... ... @@ -91,5 +91,9 @@ 91 91 |(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung 92 92 |(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus 93 93 |(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird 94 -|(% style="width:160px" %)Desktop-Verknüpfung erstellen 95 -~)~)~) 106 +|(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus 107 +|(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus 108 + 109 +[[image:RangeeOS-Firewall.png||height="446" width="600"]] 110 + 111 +Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.