Da Ich mit gewissen SIP-Providern und diversen Firewalls das altbekannte NAT-Problem habe, und dies auch meist die von den Providern als Ausrede verwendet wird, habe ich mich entschlossen die MobyDick direkt an einen eigenen KabelBW-Anschluss zu hängen. Somit kann sich die MobyDick direkt mit dem SIP-Provider verbinden, ohne Einschränkung der NAT-Firewall. Unser Vorteil bringt aber auch leider eine großes Risiko
mit sich, weil nun die MobyDick völlig ungeschütz im Internet bereit steht.

Da Ich mein KabelBW-Modem direkt an die MobyDick angeschlossen habe, und meine öffentliche IP direkt per DHCP zugewiesen bekomme musste ich nur das WAN-Interface (bei mir eth1) auf DHCP stellen.

In diesem kleinen HowTo möchte Ich zeigen wie man die MobyDick anhand der integrierten Iptables vor
unerwünschten Zugriffen schützt.

1. Erstellen der Iptables-Regeln

Um die Iptables-Regeln komfortabel und nach einem Neustart zu aktivieren, werden wir ein kleines
Skript erstellen, in dem die Regeln definiert und angewendet werden. Das Skript habe Ich möglichst
verständlich argumentiert, dass Ich hier nicht weiter darauf eingehen werde. Wer sich mehr mit Iptables
befassen möchte, dem empfehle Ich das Buch “Linux Firewalls mit iptables & Co” von Ralf Spenneberg.

/home/pfaffman/data/pascom.net/attachments/1/0/38.attach (2.98 KB)

Das Skript speichern wir als /etc/network/if-up.d/start_mobwall damit die Regeln nach einem Neustart automatisch aktiviert werden. Damit das Skript auch ausgeführt werden kann, setzten wir dei Rechte mit

chmod 755 /etc/network/if-up.d/start_mobwall

2. Erstellen des init Skripts
Damit wir die MobWall starten und stoppen können brauchen wir ein Skript dem wir bestimmte
Argumente übergeben und somit das Verhalten der MobWall steuern.

/home/pfaffman/data/pascom.net/attachments/1/0/39.attach (693 Bytes)

Dieses Skript speichern wir als /etc/init.d/mobwall und setzten die Rechte mit

chmod 755 /etc/init.d/mobwall

3. Steuern der Mobwall

Starten der MobWall

/etc/init.d/mobwall start

Stoppen der MobWall (Firewall ist geöffnet)

/etc/init.d/mobwall stop

Neues setzten der Firewall-Regeln

/etc/init.d/mobwall restart

Anzeigen der akutell aktiven Firewall-Regeln

/etc/init.d/mobwall show

Dies war ein kleines HowTo für eine Iptables-Basierte Firewall direkt auf der MobyDick.

Gruß
Arthur Vogel

Hallo Arthur,

danke für den Artikel. Um etwas komplexere Regeln zu erzeugen, kann ich Dir und allen andern Interessierten das Tool fwbuilder empfehlen.
Es ist für viele Linux Distributionen und auch für Windows und Mac OS X verfügbar.

Die per GUI erzeugten iptables Regeln kann man als Skript exportieren oder gleich per scp auf die Zielmaschine (also hier die MobyDick) kopieren lassen.

Gruß,

Thomas