Changes for page RangeeOS - Firewall mit ipables Skript
Last modified by Tobias Wintrich on 2022/10/28 12:30
From version 17.1
edited by Tobias Wintrich
on 2022/10/28 10:29
on 2022/10/28 10:29
Change comment:
There is no comment for this version
To version 12.1
edited by Tobias Wintrich
on 2022/10/28 10:15
on 2022/10/28 10:15
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
-
Attachments (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -14,6 +14,17 @@ 14 14 15 15 Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen. 16 16 17 +In folgenden Beispielen werden diese Parameter von iptables verwendet: 18 + 19 +{{{-A => --append 20 +-p => --protocol 21 +-s => --source 22 +-m => --match 23 +-j => --jump 24 +-F => --flush 25 +-P => --policy 26 +--dport => --destination-ports}}} 27 + 17 17 {{info}} 18 18 Weitere Informationen zur Verwendung von iptables finden Sie hier: 19 19 ... ... @@ -39,19 +39,19 @@ 39 39 40 40 **Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von dem 24er Subnetz 192.168.255.0/24:** 41 41 42 -{{{iptables --append INPUT --protocol tcp --d estination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}}53 +{{{iptables --append INPUT --protocol tcp --dport 443 --source 192.168.255.0/24 --jump ACCEPT}}} 43 43 44 44 **Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP 192.168.255.56/32:** 45 45 46 -{{{iptables --append INPUT --protocol tcp --d estination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}}57 +{{{iptables --append INPUT --protocol tcp --dport 22 --source 192.168.255.56/32 --jump ACCEPT}}} 47 47 48 48 **Erlaubt VNC zum Client auf Port 5900 TCP vom 16er Subnetz 192.168.0.0/16:** 49 49 50 -{{{iptables --append INPUT --protocol tcp --d estination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}}61 +{{{iptables --append INPUT --protocol tcp --dport 5900 --source 192.168.0.0/16 --jump ACCEPT}}} 51 51 52 52 **Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP vom 16er Subnetz 192.168.0.0/16:** 53 53 54 -{{{iptables --append INPUT --protocol tcp --d estination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}}65 +{{{iptables --append INPUT --protocol tcp --dport 80 --source 192.168.0.0/16 --jump ACCEPT}}} 55 55 56 56 **Erlaubt ICMP (Ping) von überall** 57 57 ... ... @@ -75,14 +75,14 @@ 75 75 iptables --flush 76 76 iptables --policy INPUT DROP 77 77 iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT 78 -iptables --append INPUT --protocol tcp --d estination-port 443 --source 192.168.255.0/24 --jump ACCEPT89 +iptables --append INPUT --protocol tcp --dport 443 --source 192.168.255.0/24 --jump ACCEPT 79 79 80 80 # Erlaube SSH Admin PC 81 -iptables --append INPUT --protocol tcp --d estination-port 22 --source 192.168.255.56/32 --jump ACCEPT92 +iptables --append INPUT --protocol tcp --dport 22 --source 192.168.255.56/32 --jump ACCEPT 82 82 83 83 # Erlaube VNC 84 -iptables --append INPUT --protocol tcp --d estination-port 5900 --source 192.168.0.0/16 --jump ACCEPT85 -iptables --append INPUT --protocol tcp --d estination-port 80 --source 192.168.0.0/16 --jump ACCEPT95 +iptables --append INPUT --protocol tcp --dport 5900 --source 192.168.0.0/16 --jump ACCEPT 96 +iptables --append INPUT --protocol tcp --dport 80 --source 192.168.0.0/16 --jump ACCEPT 86 86 87 87 # Erlaube PING 88 88 iptables --append INPUT --protocol icmp --jump ACCEPT}}} ... ... @@ -89,13 +89,12 @@ 89 89 90 90 Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden: 91 91 92 -(% style="width:1934.5px" %) 93 -|(% style="width:584.5px" %)Verbindungsname *|(% style="width:921.5px" %)Frei wählbarer Anzeigename der Verbindung 94 -|(% style="width:584.5px" %)Als root ausführen *|(% style="width:921.5px" %)an - Führt das Skript mit den benötigten rechten aus 95 -|(% style="width:584.5px" %)Automatischer Start|(% style="width:921.5px" %)an - Sorgt dafür, dass die Firewall beim Start des Geräts aktiviert wird 96 -|(% style="width:584.5px" %)Desktop-Verknüpfung erstellen |(% style="width:921.5px" %)aus 97 -|(% style="width:584.5px" %)Verknüpfung im Startmenü erstellen|(% style="width:921.5px" %)aus 103 +|(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung 104 +|(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus 105 +|(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird 106 +|(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus 107 +|(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus 98 98 99 -[[image:RangeeOS-Firewall.png||height="4 98" width="600"]]109 +[[image:RangeeOS-Firewall.png||height="446" width="600"]] 100 100 101 - 111 +Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.
- RangeeOS-Firewall.png
-
- Size
-
... ... @@ -1,1 +1,1 @@ 1 - 202.1 KB1 +193.2 KB - Content