Add stuff and fix existing stuff related to iptables
This commit is contained in:
parent
aae723272f
commit
b213d07da6
|
@ -131,9 +131,10 @@ Anschließend werden die vorgenommenen Einstellungen aktiviert.
|
|||
# sysctl --system
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{iptables}
|
||||
Es wurden Regeln definiert, welcher Datenverkehr für den VPN-Server und VPN-Clients erlaubt sind.
|
||||
\paragraph{Firewallregeln}
|
||||
Es wurde definiert, welcher Datenverkehr für den VPN-Server und VPN-Clients erlaubt ist.
|
||||
Diese werden jetzt über Filterregeln mit \texttt{iptables} beziehungsweise \texttt{ip6tables} umgesetzt.
|
||||
|
||||
Als Standardpolicy wird \texttt{DROP} gewählt.
|
||||
\begin{lstlisting}
|
||||
iptables -P INPUT DROP
|
||||
|
@ -147,12 +148,12 @@ ip6tables -P FORWARD DROP
|
|||
Datenverkehr über das Loopback-Interface ist immer erlaubt.
|
||||
\begin{lstlisting}
|
||||
iptables -A INPUT -i lo -j ACCEPT
|
||||
iptables -A OUTPUT -i lo -j ACCEPT
|
||||
iptables -A OUTPUT -o lo -j ACCEPT
|
||||
ip6tables -A INPUT -i lo -j ACCEPT
|
||||
ip6tables -A OUTPUT -i lo -j ACCEPT
|
||||
ip6tables -A OUTPUT -o lo -j ACCEPT
|
||||
\end{lstlisting}
|
||||
|
||||
Die Protokolle ICMP und ICMPv6 werden immer durchgelassen.
|
||||
Die Protokolle ICMP und ICMPv6 sind immer erlaubt.
|
||||
\begin{lstlisting}
|
||||
iptables -A INPUT -p icmp -j ACCEPT
|
||||
ip6tables -A INPUT -p icmp6 -j ACCEPT
|
||||
|
@ -173,8 +174,8 @@ ip6tables -A INPUT -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEP
|
|||
|
||||
Antwortpakete für eingehende Pakete auf SSH und OpenVPN-Dienst sind erlaubt.
|
||||
\begin{lstlisting}
|
||||
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
||||
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
||||
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
|
||||
ip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
|
||||
\end{lstlisting}
|
||||
|
||||
Vom VPN-Server ausgehende Pakete sind grundsätzlich erlaubt.
|
||||
|
@ -189,7 +190,6 @@ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
|||
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
||||
\end{lstlisting}
|
||||
|
||||
|
||||
Für IPv4-Verkehr aus dem VPN soll NAT durchgeführt werden.
|
||||
\begin{lstlisting}
|
||||
iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -j MASQUERADE
|
||||
|
@ -213,7 +213,7 @@ iptables -A FORWARDING -d 10.2.0.0/16 -m state --state ESTABLISHED,RELATED -j AC
|
|||
ip6tables -A FORWARDING -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
|
||||
\end{lstlisting}
|
||||
|
||||
|
||||
\paragraph{Persistente Firewallregeln}
|
||||
Um die mit \texttt{iptables} erstellten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert.
|
||||
\begin{lstlisting}
|
||||
apt-get install iptables-persistent
|
||||
|
|
Loading…
Reference in New Issue