Add stuff and fix existing stuff related to iptables

This commit is contained in:
Jan Philipp Timme 2018-09-19 11:57:22 +02:00
parent aae723272f
commit b213d07da6
1 changed files with 9 additions and 9 deletions

View File

@ -131,9 +131,10 @@ Anschließend werden die vorgenommenen Einstellungen aktiviert.
# sysctl --system
\end{lstlisting}
\paragraph{iptables}
Es wurden Regeln definiert, welcher Datenverkehr für den VPN-Server und VPN-Clients erlaubt sind.
\paragraph{Firewallregeln}
Es wurde definiert, welcher Datenverkehr für den VPN-Server und VPN-Clients erlaubt ist.
Diese werden jetzt über Filterregeln mit \texttt{iptables} beziehungsweise \texttt{ip6tables} umgesetzt.
Als Standardpolicy wird \texttt{DROP} gewählt.
\begin{lstlisting}
iptables -P INPUT DROP
@ -147,12 +148,12 @@ ip6tables -P FORWARD DROP
Datenverkehr über das Loopback-Interface ist immer erlaubt.
\begin{lstlisting}
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
\end{lstlisting}
Die Protokolle ICMP und ICMPv6 werden immer durchgelassen.
Die Protokolle ICMP und ICMPv6 sind immer erlaubt.
\begin{lstlisting}
iptables -A INPUT -p icmp -j ACCEPT
ip6tables -A INPUT -p icmp6 -j ACCEPT
@ -173,8 +174,8 @@ ip6tables -A INPUT -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEP
Antwortpakete für eingehende Pakete auf SSH und OpenVPN-Dienst sind erlaubt.
\begin{lstlisting}
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
\end{lstlisting}
Vom VPN-Server ausgehende Pakete sind grundsätzlich erlaubt.
@ -189,7 +190,6 @@ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
\end{lstlisting}
Für IPv4-Verkehr aus dem VPN soll NAT durchgeführt werden.
\begin{lstlisting}
iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -j MASQUERADE
@ -213,7 +213,7 @@ iptables -A FORWARDING -d 10.2.0.0/16 -m state --state ESTABLISHED,RELATED -j AC
ip6tables -A FORWARDING -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
\end{lstlisting}
\paragraph{Persistente Firewallregeln}
Um die mit \texttt{iptables} erstellten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert.
\begin{lstlisting}
apt-get install iptables-persistent