# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
#       firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT

# rc.firewall - einfaches Masquerading-Setup fuer 2.1.x- und
# 2.2.x-Kerne mittels IPCHAINS
#

# Laden von erforderlichen IP-Masq Modulen
# 
# Hinweis: Laden Sie nur Module, die Sie auch nutzen wollen. Alle
#          derzeit verfuegbaren Masq-Module sind unten aufgefuehrt und vom
#          Laden auskommentiert.
# 
/sbin/depmod -a

# Unterstuetzt optimierte FTP-Dateiuebertragung mittels der 
# Port-Methode
# 
/sbin/modprobe ip_masq_ftp 
      
# Unterstuetzt die Maskierung von Real Audio ueber das UDP-Protokoll. 
# Real audio funktioniert auch ohne dieses Moduls, dann aber
# im TCP-Modus und das kann fuer Einbusen in der
# Soundqualitaet sorgen
# 
#/sbin/modprobe ip_masq_raudio 

# Erlaubt maskierte IRC DCC-Dateiuebertragung 
# 
#/sbin/modprobe ip_masq_irc 

# Die Maskierung von Quake und Quake World wird per Voreinstellung 
# unterstuetzt. Diese Module werden nur bei mehreren Spielern 
# gleichzeitig hinter dem Masq-Server gebraucht. Wenn Sie QuakeI, II
# oder III ueber andere Serverports spielen wollen,
# dann ist das zweite Beispiel das Richtige 
# 
# Quake I / QuakeWorld(Ports 26000 and 27000) 
#/sbin/modprobe ip_masq_quake 
# 
# Quake I, II und III / QuakeWorld(Ports 26000, 27000, 27910)
#/sbin/modprobe ports=ip_masq_quake 26000,27000,27910 

# Unterstuetzt die Maskierung von 
# CuSeeme(Can you See me)-Videokonferenz-Software 
# 
#/sbin/modprobe ip_masq_cuseeme 

# Unterstuetzt die Maskierung von VDO-live Videokonferenz-Software 
# 
#/sbin/modprobe ip_masq_vdolive 

# Kritisch: Aktiviert die IP-Umleitung(IP-forwarding), da sie
#           per Voreinstellung deaktiviert ist.
# 
echo "1" > /proc/sys/net/ipv4/ip_forward

# Dynamische IP-Adressen: 
# 
# Wenn Ihnen die IP-Adresse dynamisch zugeteilt wird, ist die
# folgende Option von Vorteil, da sie das Arbeiten mit Diald 
# und aehnlichen Programmen erheblich erleichtert. 
# 
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr 

# Masq-Auszeiten(timeouts) 
# 
#     2 Std.  Auszeit fuer TCP-Sitzungen
#     10 Sek. Verkehrsauszeit nach dem Empfang des letzten TCP/IP-Paketes 
#     60 Sek. Auszeit fuer UDP-Verkehr(maskierte ICQ-Benutzer 
#             muessen 30 Sek. Firewall-Auszeit im ICQ-Programm 
#             selbst einstellen)
# 
ipchains -M -S 7200 10 60
      
# Aktivierung von IP-Umleitung und Masquerading 
# 
# Hinweis:      Das folgende Beispiel steht fuer ein internes LAN
#               mit 192.168.0.x als Netzadresse und 255.255.255.0 
#               oder 24-Bit als Subnetzmaske. Bitte aendern Sie die
#               Netzadresse und Subnetzmaske in die Ihres internen LAN
# 
ipchains -P forward DENY
ipchains -A forward -s 192.168.0.2 -j MASQ

# DHCP:         Leute, die ihre externe IP-Adresse von entweder DHCP 
#               oder BOOTP empfangen wie ADSL-Benutzer muessen dieses noch vor
#               dem deny-Befehl einbinden. Der Ausdruck
#               »bootp_client_net_if_name« steht fuer den Namen der
#               Schnittstelle, der der DHCP/BOOTP-Server eine 
#               IP-Adresse zuordnet. Das kann etwa 
#               wie eth0, eth1, etc. aussehen 
# 
#               Das Beispiel ist per Voreinstellung deaktiviert. 
# 
ipchains -A input -j ACCEPT -w ppp0 -s 0/0 68 -d 0/0 67 -p udp

#! /bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F; iptables -t nat -F; iptables -t mangle -F
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -P INPUT DROP #only if the first two are succesful
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT