Xinux Wiki - Benutzerbeiträge [de]

Wekan User Löschen

2021-03-29T14:38:38Z

Dr.xinux: /* In den Mongo Conatiner gehen */

=In den Mongo Conatiner gehen=
*docker exec -i -t <container_id> /bin/bash
=Mongo Datenbank=
*mongo wekan

=List the users=
*db.users.find().toArray()
=Finally, delete the user record=
db.users.remove( {"username": "tina"})

Wekan User Löschen

2021-03-29T14:38:21Z

Dr.xinux: Die Seite wurde neu angelegt: „=In den Mongo Conatiner gehen= *docker exec -i -t <container_id> /bin/bash =Mongo Datenbank? *mongo wekan =List the users= *db.users.find().toArray() =Finally,…“

=In den Mongo Conatiner gehen=
*docker exec -i -t <container_id> /bin/bash
=Mongo Datenbank?
*mongo wekan
=List the users=
*db.users.find().toArray()
=Finally, delete the user record=
db.users.remove( {"username": "tina"})

Wekan

2021-03-29T14:36:25Z

Dr.xinux: Die Seite wurde neu angelegt: „*Wekan User Löschen“

*[[Wekan User Löschen]]

Hauptseite

2021-03-29T14:34:20Z

2021-03-24T14:59:39Z

Dr.xinux:

Docker ist eine '''Containervirtualisierung'''. Durch Docker können mehrere Prozesse isoliert und damit unabhängig voneinander ausgeführt werden. Dies ermöglicht eine einfache Reparatur und Aktualisierung des Containers ohne andere Container zu gefährden.

[[Datei:docker-container-zu-linux-01.png]]

Was ist Docker?

2021-03-24T14:59:23Z

Dr.xinux: Die Seite wurde neu angelegt: „ Docker ist eine '''Containervirtualisierung'''. Durch Docker können mehrere Prozesse isoliert und damit unabhängig voneinander ausgeführt werden. Dies erm…“

Docker-swarm from the scratch

2021-03-24T14:59:16Z

Dr.xinux:

*[[Was ist Docker?]]

=Docker Swarm=

Der Docker Swarm basiert auf einer Master-Slave-Architektur. Der Docker Swarm besteht aus einem Manager und mehreren Arbeiter Maschinen. Der '''Swarm-Manager''' ist für die Verwaltung und Delegation der Aufgaben verantwortlich. Die '''Swarm-Worker''' sind für die Ausführung der Tasks zuständig. Ein großer Hauptpunkt für den Swarm ist das Load-Balancing. Dieses ist bereits bei der Installation integriert und sorgt für eine gute Lastenverteilung.

=Docker Compose=

Mithilfe Docker-Compose lassen sich die Container einfacher Verwalten. Docker-Compose bringt einige Kommandos mit sich und liefert durch die '''docker-compose.yml''' , praktisch das Herzstück des Docker-Compose, eine Datei mit der bestimmt wird wie die Container Starten sollen und wie sie untereinander verknüpft sind. Außerdem können Verzeichnisse, Ports freigegeben und Verlinkungen hergestellt werden und noch einiges mehr.

*Beispiel einer docker-compose.yml für bind9
<pre>
version: '3.5'

services:
bind9:
restart: always
image: labbsr0x/dns-bind9
ports:
- "53:53/udp"
- "53:53/tcp"
volumes:
- ./bind9:/data # Change volume path
</pre>

=Docker Swarm Installieren=

*apt update
*apt upgrade
*curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
*add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
*apt update
*apt-get install -y docker-ce docker-compose
*systemctl start docker
*systemctl enable docker

=Docker Compose Befehle=
*docker-compose up -d
**''Die docker-compose.yaml wird im Hintergrund gestartet und somit der Container''

*docker-compose ps
**''listet die aktiven Container auf''

*docker-compose stop/start '''name'''
**''stoppt den Container ohne ihn zu removen oder startet ihn wieder''

*docker-compose exec SERVICENAME /bin/sh
**''für interaktive shell''

*docker-compose logs
**''logs werden zu einem Container mitverfolgt wenn er mit '''docker-compose up -d''' gestartet wurde''

IT-Sichereitsaspekte in heterognen Netzwerken

2020-10-05T14:52:13Z

Dr.xinux: Der Seiteninhalt wurde durch einen anderen Text ersetzt: „*EINLEITUNG *SCHEMATISCHER AUFBAU VON HETEROGENEN NETZWERKEN-LOS14|SCHEMATISCHER AUFBAU VON HETEROGENEN NETZW…“

*[[EINLEITUNG-LOS14|EINLEITUNG]]
*[[SCHEMATISCHER AUFBAU VON HETEROGENEN NETZWERKEN-LOS14|SCHEMATISCHER AUFBAU VON HETEROGENEN NETZWERKEN]]
*[[ETHERNET-LOS-14|ETHERNET]]
*[[WIRELESSLAN-LOS14|WIRELESSLAN]]
*[[NETWERK_TOOLS-LOS14|NETWERK TOOLS]]
*[[PORTSCANNING-LOS14|PORTSCANNING]]
*[[SCHACHSTELLENSUCHE UND ANALYSE-LOS14|SCHACHSTELLENSUCHE UND ANALYSE]]

2020-03-27T09:48:05Z

Dr.xinux: Die Seite wurde neu angelegt: „Ö=Iptables Funktionsweise= Iptables besteht aus: *Tabellen (tables) *Ketten (chains) *Filterregeln (rules) *Ziele (destinations) =Tabellen= ==filter== Die T…“

Ö=Iptables Funktionsweise=
Iptables besteht aus:
*Tabellen (tables)
*Ketten (chains)
*Filterregeln (rules)
*Ziele (destinations)

=Tabellen=
==filter==
Die Tabelle filter prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.
==nat==
NAT wird benutzt um IP-Adressen oder Ports zu übersetzen/ändern (= Network Adress Translation).
==mangle==
Die Tabelle mangle (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

=Die filter Tabelle=
==Die Ketten der filter Kette==
*'''FORWARD''': für Pakte die über eine Schnittstelle hereinkommen, den Rechner auch wieder verlassen.
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst

[[Datei:ip6tables-filter.png|500px]]

==Die Filter Regeln der filter Tabelle==
Regeln werden mit '''ip6tables''' erstellt und an Ziele geschickt.
==Ziele der filter Tabelle==
*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet

=Syntax Allgemein=
Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln sieht man mit
*ip6tables -nvL -t filter
-L # Listing
-t filter # anzeigen der filter Kette
-n # numerical
-v # verbose
Da -t filter Default ist, kann man es auch weglassen,
*ip6tables -nvL -t filter
=Funktionsweise=
Die Regeln werden nacheinander abgearbeitet wenn eine Regel greift hört der Verarbeitungsprozess auf. Wenn keine greift wird die Default Policy angewandt.

{| class="wikitable"
!colspan="6"|filter table
|-style="font-style: italic; color: blue;"
||INPUT||OUTPUT||FORWARD
|-
||rule 1 ||rule 1 ||rule 1
|-
||rule 2 ||rule 2 ||rule 2
|-
||rule 3 ||rule 3 ||rule 3
|-
||rule 4 ||rule 4 ||rule 4
|-
||rule 5 ||rule 5 ||rule 5
|-
||rule 6 ||rule 6 ||rule 6
|-style="font-style: italic; color: red;"
||POLICY||POLICY||POLICY
|}
=Firewallscript=
==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:
*cd /usr/local/sbin/
*vi firewall
'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Script ausführbar machen==
*chmod +x firewall

==Testen des Scripts==
*firewall start
*firewall stop
*firewall
==Flushen aller vorhergehenden Regeln==
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''ip6tables -F'''
;;
stop)
echo "stoppe firewall"
'''ip6tables -F'''
;;
esac
==Setzen der Default Policys==
#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
'''ip6tables -P INPUT DROP'''
'''ip6tables -P OUTPUT DROP'''
'''ip6tables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
'''ip6tables -P INPUT ACCEPT'''
'''ip6tables -P OUTPUT ACCEPT'''
'''ip6tables -P FORWARD ACCEPT'''
;;
esac
==ESTABLISHED und RELATED Pakete (Connection Tracking)==
Ein Vorteil von ip6tables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.
Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
'''ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT'''
'''ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT'''
'''ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m conntrack''': Das Modul von ip6tables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--ctstate ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Pakete die zu einer Verbindung gehören. Also frühestens das 2 Paket.
:'''RELATED''': Pakete die in einer relation zu einer anderen Verbindung stehen.
:'''-j ACCEPT''' Regel springt zum ACCEPT Ziel.

==Die ersten Regeln die auch treffen==
Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren.
===Das loopbackdevice===
Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
'''ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac
;Verwendete Syntax
:'''-o lo''': output interface hier '''lo'''
:'''-i lo''': input interface hier '''lo'''
:'''-m conntrack''': laden des state Moduls
:'''--ctstate NEW''': Das erste Paket einer Verbindung
:'''-j ACCEPT''': springe zum ACCEPT Ziel

==Neue Regeln und Variablen==
===Wir lassen ausgehenden Verkehr vom Rechner zu lassen ssh und icmp Zugriff auf die Firewall zu ===
#!/bin/bash
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-p tcp''': protokoll tcp
:'''--dport 22 ''': destination port 22
===Variablen Definition und Zugriff von Innen und Multiport Modul===
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

===Diverse Forward Regeln und Logging===
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT'''
'''ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"'''
'''ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"'''
'''ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"'''
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

==Logging==
*tail -f /var/log/syslog | grep 'ip6tables'
=Automatischer Start=
*[[Systemd Service Firewall]]
=Die nat Tabelle=
==Die Ketten der filter Kette==
*'''POSTROUTING''': für Pakte die über eine Schnittstelle hereinkommen, und noch keine Routing Entscheidung getroffen wurde.
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen.
*'''OUTPUT''': für Pakete die von einem Dienst generiert werden und den Rechner wieder verlassen,
*'''PREROUTING''': für die über eine Schnittstelle herausgehenden Pakete, nach der Rounting Entscheidung.

[[Datei:ip6tables-nat-filter.png|400px]]

==Ziele der filter Tabelle==
*'''DNAT''': Ziel IP oder Ziel PORT werden verändert. Wird in der PREROUTING und INPUT Kette angewandt
*'''SNAT''': Quell IP oder Quell PORT werden verändert. Wird in der POSTROUTING und OUTPUT Kette angewandt
*'''MASQUERADE''': Es wird die Quell IP des ausgehenden Interfaces gesetzt. Wird in der POSTROUTING Kette angewandt,
*'''NETMAP''': ganze Netze werden umgesetzt. (PREROUTING und POSTROUTING Kette)
*'''LOG''': schreibt einen Eintrag in die syslog.
*'''ACCEPT''': Nur in der Default Policy sinnvoll. Sollte nicht verändert werden.
===Maskierungen===
;Beim ersten Paket wird die IP Adresse des ausgehenden Interface eingesetzt.
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -t nat -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -t nat -A POSTROUTING -o $WANDEV -j MASQUERADE'''
ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"
ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"
ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

===SNAT===
;Beim ersten Paket wird die angegebenene IP Adresse eingesetzt.
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
WANIP="10.84.252.32"
case $1 in
start)
echo "starte firewall"
ip6tables -F
ip6tables -t nat -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT
'''ip6tables -t nat -A POSTROUTING -o $WANDEV -j SNAT --to-source $WANIP'''
ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"
ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"
ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac

===DNAT===
;Auf den internen Webserver auf Port 80 und 443 kann über die externer IP Adresse zugegriffen werden.
#!/bin/bash
LANDEV=enp0s8
WANDEV=enp0s3
WANIP="10.84.252.32"
WEBSERVER="10.83.32.11"
case $1 in
start)
echo "starte firewall
ip6tables -F
ip6tables -t nat -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o lo -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT'''
ip6tables -A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p tcp -m multiport --dport 53,80,443 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -i $LANDEV -p udp -m multiport --dport 53,67 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p tcp -m multiport --dport 22,25,53,80,443,465,993 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A FORWARD -i $LANDEV -o $WANDEV -p icmp -m conntrack --ctstate NEW -j ACCEPT
ip6tables -t nat -A POSTROUTING -o $WANDEV -j SNAT --to-source $WANIP
'''ip6tables -A FORWARD -i $WANDEV -o $LANDEV -p tcp --dport 80 -d $WEBSERVER -j ACCEPT'''
'''ip6tables -A FORWARD -i $WANDEV -o $LANDEV -p tcp --dport 443 -d $WEBSERVER -j ACCEPT'''
'''ip6tables -t nat -A PREROUTING -i $WANDEV -j DNAT -d $WANIP -p tcp --dport 80 --to $WEBSERVER:80'''
'''ip6tables -t nat -A PREROUTING -i $WANDEV -j DNAT -d $WANIP -p tcp --dport 443 --to $WEBSERVER:443'''
ip6tables -A INPUT -j LOG --log-prefix "--ip6tables-in--"
ip6tables -A OUTPUT -j LOG --log-prefix "--ip6tables-out--"
ip6tables -A FORWARD -j LOG --log-prefix "--ip6tables-for--"
;;
stop)
echo "stoppe firewall"
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
;;
esac