IPTables

Dieses Thema im Forum 'Server Security & technische Diskussionen' wurde von Stevie gestartet, 24 Mai 2014.

  1. Stevie - Premium Member -

    Mitglied seit:
    25 Juni 2012
    Erstellte Beiträge:
    372
    Zustimmungen:
    9
    Hallo,

    Ich habe eine Frage und vl. weis einer ja eine Antwort warum meine IPTables nicht greifen bzw. wen ich die Regeln neu erstelle die ab und zu mal funzen und dann wieder nicht.

    Zuerst lösch ich die IPTABLES
    iptables -F

    iptables -A INPUT -i venet0 -p tcp --dport 1117 -j ACCEPT (SSH Port)
    iptables -A INPUT -i venet0 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -i venet0 -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -i venet0 -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -i venet0 -j REJECT

    Genau so wäre meine Reihenfolge. Nu is es aber so dass es hin und wieder eigentlich auch funzt. Sobald ich iptables -A INPUT -i venet0 -j REJECT setze, werden oder sollten meine anderen Ports geschlossenen werden.

    Ich benötige nur SSH,HTTP,SMTP offen -> alle anderen Ports können geschlossen sein.
    Ich vermute dass hier die Reihenfolge nicht korrekt ist?, warum es aber dann trotzdem hin und wieder funzt kann ich mir nicht erklären.

    Hat hier jemadn von euch zufällig eine Idee woran das liegen kann?
    Durch REJECT -> wird auch mein HTTP Port gesperrt obwohl dieser frei sein sollte.

    Hier meine Rules

    iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT tcp -- anywhere anywhere tcp dpt:1888
    ACCEPT tcp -- anywhere anywhere tcp dpt:http
    ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
    REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    Evtl. kann mir ja jemand weiterhelfen
    Danke!
  2. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Code:
    service iptables save
    
    vergessen als Abschluß?
    Und wenn Du gesperrt wirst, dann mach doch explizit Deinen Block auf über den Du reinkommst.
    So viele werden das ja nicht sein...
  3. TBT - Premium Member -

    Mitglied seit:
    25 Juli 2009
    Erstellte Beiträge:
    124
    Zustimmungen:
    2
    weil du vergessen hast, den Standard (wenn keine Regel greift) auf DROP zu setzen ;)

    # Alte Regeln löschen
    iptables -F
    iptables -F -t mangle
    iptables -F -t nat
    iptables -X
    iptables -X -t mangle
    iptables -X -t nat

    # Default-Policies setzen - alles fliegt raus
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP

    # und jetzt folgt alles erlaubte!
    # ...
    Fuyonet.com und Stevie gefällt dies.
  4. Potzblitz - Premium Member -

    Mitglied seit:
    18 Mai 2014
    Erstellte Beiträge:
    136
    Zustimmungen:
    21
    Mal neugierig was sind IPTables eigentlich?
  5. TBT - Premium Member -

    Mitglied seit:
    25 Juli 2009
    Erstellte Beiträge:
    124
    Zustimmungen:
    2
    Standard Firewall, Routing, NAT unter Linux
  6. mesh - Premium Member -

    Mitglied seit:
    12 Juli 2009
    Erstellte Beiträge:
    2.627
    Zustimmungen:
    230
    Taktische Nuklearwaffen gegen türkische DNS-Attakeure, Chinamänner mit Tagesfreizeit und Russen mit Bizniz-Spam.
    Fuyonet.com, Stevie und blackmexx gefällt dies.
  7. Fuyonet.com - Premium Member -

    Mitglied seit:
    5 Januar 2011
    Erstellte Beiträge:
    59
    Zustimmungen:
    6
    policy bei output wuerde ich nicht auf DROP setzen, ausser man weiss genau was man tut...

    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    nicht vergessen, sonst gibts unvorhergesehene probleme.

    iptables -A INPUT -i lo -j ACCEPT
    loopback immer zulassen, sonst gibts noch mehr probleme

Dieses Thema weiterempfehlen: