IpTables firewall script

Du er viss på at det er et perl script og ikke et vanlig shell script ?
Hvorfor ikke paste innholdet her, med mindre det _meget_ stort/omfattende ?
Eksterne ip kan event anonymiseres. Hvis det eventuelt ikke er mulig å paste det hele, så kan du vel paste noe av det ?

Ellers med hensyn til konfigurering av en server som man bare har remote adgang til, så bør man være forsiktig. Man kan hurtig gjøre en liten feiltasting, slik at man "låser seg ute". Da behøver man noen på det stedet som serveren er som kan reboote.

Hej Langbein

Ja det er ikke så smart at lukke sig ude :)
Jeg kan godt se syntaksen i koden så jeg famler ikke i blinde :)

Men jeg ligger lige scriptet ud på nettet så kan du se nærmere på det..

5 min. :)

- Thomas

http://terasoft.dk/fwsetup.pl <-- skrivnpr du har hentet den så kan jeg fjerne den igen.
Jeg håber ikke at jeg har ødelagt formatet.

- Thomas

Har hentet den !

Jo det stemmer vel at dette er et perl script. Man kan vel nesten si det så enkelt at det faktisk er et perl script som produserer et ssh shell script. Således blir det liksom to trinn i tolkningen, først å "oversette" fra perl til ssh script og så der i fra å tolke det ssh scriptet som kommer ut av dette.

Har ikke mye greie på perl, men håper at det går bra å legge ut en "antatt oversettelse" (Du kan jo eventuelt korrigere litt.)

Går det ann å spørre hvor du har hentet dette scriptet ?! Har du laget det selv ?
(Ganske spesielt å la perl generere ut en slik batch av systemkommandoer, men det kan sikkert la seg gjøre. Har en Linux med perl som jeg vil forsøke å kjøre det på.

Forresten .. vet du hvordan man eventuelt kan få perl bare til så skrive ut batchen med systemkommandoer i stedet for å eksekvere dem. (Da hadde man jo fått et alminnelig ssh shell script som output, hvilket ville vært enklere å vurdere.

MVH Langbein

Har lest aller hurtigst gjennom. Dette er en ren server med kun et enkelt nettverkskort. Det er ingen gateway. Stemmer det ?!

Hva/hvordan er det at det ikke fungerer ? Jeg kan se at du setter inngående og utgående policies til Accept (??!), hvilket normalt vil medføre at de øvrige firewall rules ikke vil fungere på en fornuftig måte.

De setter også policies før du flusher. Pleier alltid å gjøre omvendt, flushe først. Ville tro at effekten av å sette policies til accept og så flushe blir at policies allikevell blir satt til Drop. Er ikke sikker på dette, men ville unsett ha skiftet rekkefølge.

Du bør ha en person på stedet som kan reboote ved behov, for noe av problemet det er at det faktisk hender at man blir stengt ute selv om man gjør tingene tilsynelatende rett. Hvis man for eksempel kjører en ren flushe kommando for å resette det hele, så mener jeg at policies samtidig går til default verdi som er drop, og så er man utestengt. (Gjorde faktisk selv akkurat dette på en maskin som sto i Bankok.)

Ellers så skulle en tro at det enkleste ville være først å lage et ssh script med batchen av systemkommandoer, og så etter at dette kjører slik som det er ønsket, så omarbeides dette til et perl script som gir akkurat den samme batchen av systemkommandoer. Da blir liksom problemstillingene rundt iptables/firewall skilt ad fra problemstillingene rundt det å lage perl scriptet, slik at man liksom kan bearbeide disse to problemstillingene i to adskilte "trinn".

Hej :)

Først.. jeg har haft en kammerat til at lave det for mig. Det behøve ikke at være et perl script. Hvis du har nemmere ved at lave det på en anden måde, så er jeg frisk på nye muligheder. Det som jeg ved ikke virker er opdelingen af national og international script. Derudover opfører den sig mærkeligt på de forskellige ip'er.

Situationen er således:
Maskinen har knyttet 50 ip'er fra xxx.xxx.xxx.101 til xxx.xxx.xxx.150
Så vidt jeg ved er der 2 netkort i. Den ene til WAN og den anden er til backup af serveren.
Mht. at blive lukket ude så har jeg en person på stedet. Der sidder desuden et Remotekort i maskinen så den kan styres selvom der ikke er ssh adgang.
Vi behøver ikke at lave det om til et perl script. Grunden til det er Perl er at det var det jeg fik.

På forhånd tak.
- Thomas

OK, det forenkler en hel del, dersom man kan bruke et alminnelig ssh script. Det vil være en hel del enklere både å lage og feilsøke.

Kan du beskrive på en litt kort og enkel måte hva denne firewall skal gjøre ?!

Er det slik at visse server tjenester skal være åpne for alle ? Hvilke tjenester er dette ? Er det også slik at andre bare skal være tilgjengelig fra visse ip ? Hvilke er dette ?

ssh script .. Jeg mener selvfølgelig et bash eller sh script ..

Det kunne være smart hvis vi kunne definere hvilke porte på hvilke ip'er der skal være åbne. Derudover bruger vi den også til at kunne sortere trafik. Så vi kan sige at vi kun vil have danske connections på nogle af portene..

Lige nu er der apache, psybnc, cs server og ventrilo på den. De sidste fire ting ligger på porte fra 11000 til 11200

- Thomas

Vil forsøke å lage et enkelt forslag til en ramme omkring det hele om litt.
Kravet om bare danske connections vil det være heller vanseklig å få til å fungere i praksis. Man må så fall spesifisere alle ip adressene (eller serier av ip adresser) i Danmark, og det blir jo litt å holde styr på. Man kan jo redigere inn alle dem man orker, men hvordan kan man vite at man har dekket inn alle de ip adressene som finnes i Danmark ?

Jeg har en liste af ip'er. Der var en af mine kammerater der vidste hvor man kunne finde  dem.

Jeg har dem i en ip.txt fil.