Willkommen, Gast!

Wenn dies Ihr erster Besuch in unserem Forum ist, sollten Sie sich zuerst unsere Forum-Netiquette durchlesen. Bevor Sie nun Beiträge schreiben, empfehlen wir Ihnen eine kostenlose Registrierung, da Sie durch Ihren eigenen Account deutlich mehr Features und Komfort im Forum genießen können. Wenn Sie ein bestimmtes Thema suchen, können Sie unsere Suchfunktion benutzen. Falls Sie sich bereits angemeldet haben, können Sie Ihren Account (im Menü links unter Mein Profil aufrufbar) verwalten.


Neue Beiträge, der letzten 24 Stunden
.


Es ist jetzt 17:04 Uhr.

Hardware-Mag - Forum » Software » Programme & Tools » iptables
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
iptables
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Mjolnir Mjolnir ist männlich
High-End-User


images/avatars/avatar-485.png

Dabei seit: 24.12.2005
Beiträge: 612

iptables Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Hallo alle,

ich habe einen root-Server, der im Internet mit eigener IP hängt und auf ubuntu-Basis (zZt. ubuntu 8.10 drauf) läuft. Ich möchte das Ding mit iptables absichern. Bin also am Firewall-Script bauen. Die strange Sache ist: ich meine, das Ganze verstanden zu haben (korrekte Reihenfolge von Regeln, Ketten, blabla). Außerdem orientiere mich an einem Firewallscript eines Scriptgenerators aus dem Internet und diesem hier. Die laufen auch. Erstelle ich jedoch ein eigenes nach selben Muster, blockiert er mir sämtliche Zugänge und ich bin ausgesperrt (ich muss Port 16000 für einen Zugang freihalten). Kann bitte mal jemand mir sagen, was zum Teufel an dem Script nicht stimmt?




Zitat:
#!/bin/sh
FW="/sbin/iptables"
#vorhandene Regeln flushen:
$FW -F
$FW -X
#Default-Policies setzen
$FW -P INPUT DROP
$FW -P OUTPUT DROP
$FW -P FORWARD DROP
#Log-Kette
$FW -N log-accept
$FW -A log-accept -j LOG -m limit --limit 6/minute
$FW -A log-accept -j ACCEPT
#Durchgangsregeln
#SSH
$FW -A INPUT -i eth0 -p tcp --dport 16000 -m state --new -j log-accept
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT




__________________
Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled

"Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Mjolnir: 27.02.2009 16:23.

27.02.2009 16:22 E-Mail an Mjolnir senden Homepage von Mjolnir Beiträge von Mjolnir suchen Fügen Sie Mjolnir in Ihre Kontaktliste ein
Mjolnir Mjolnir ist männlich
High-End-User


images/avatars/avatar-485.png

Dabei seit: 24.12.2005
Beiträge: 612

Themenstarter Thema begonnen von Mjolnir
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Hat hier wirklich keiner eine Idee? Ich bin für jeden Tipp dankbar... unglücklich



__________________
Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled

"Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."
03.03.2009 09:16 E-Mail an Mjolnir senden Homepage von Mjolnir Beiträge von Mjolnir suchen Fügen Sie Mjolnir in Ihre Kontaktliste ein
lazyfruit
Hardware-Bastler


images/avatars/avatar-402.jpg

Dabei seit: 12.03.2007
Beiträge: 341
Herkunft: Bad Lauchstädt

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Hallo Mjolnir,

mein SSH Zugang funktioniert mit folgendem Befehl tadelos:

iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Zum Vergleich dein Befehl:

$FW -A INPUT -i eth0 -p tcp --dport 16000 -m state --new -j log-accept

Klingt ähnlich.... aber nicht gleich.

Probier´s mal damit, bin auch nicht der Firewall-Hai, aber bei mir funktioniert alles.

Gruss



__________________
SOLD:
*C2D E6400 @ 2,13GHz *4GB Buffalo DDR2-800 *Intel DP35DP MoBo
*2 x 160 ! GB WD Raptor *XFX 8800GTX XXX*
*Benq FP222WH 22" Display* *Win7 Home Premium x64 *Centos EL 5.4*
03.03.2009 09:23 E-Mail an lazyfruit senden Beiträge von lazyfruit suchen
Mjolnir Mjolnir ist männlich
High-End-User


images/avatars/avatar-485.png

Dabei seit: 24.12.2005
Beiträge: 612

Themenstarter Thema begonnen von Mjolnir
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Ich habs nochmal getestet, aber... leider immer noch kein Erfolg. Ich weiß, dass das eigentlich ne Sicherheitslücke ist, aber könntest du mal dein Firewallskript posten? Oder mir per PM schicken oder sowas? Bei iptables-Scripten kommt es ja auch noch immer auf die Reihenfolge der Aufrufe an und solche Sächelchen...


//EDIT:
Strike!
Mit dem folgenden Script kriege ich eine Connection (offenbar musste ich auch explizit ausgehende Pakete zulassen, irgendwie logisch...):

Zitat:

#!/bin/sh
FW="/sbin/iptables"
#vorhandene Regeln flushen:
$FW -F
$FW -X
#Default-Policies setzen
$FW -P INPUT DROP
$FW -P OUTPUT DROP
$FW -P FORWARD DROP
$FW -N normal_connections
#Durchgangsregeln
#SSH
$FW -A normal_connections -p tcp --dport 16000 -j ACCEPT
$FW -A normal_connections -p tcp
#Alle einkommenden Pakete an normal_connections uebergeben
$FW -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED,NEW -j normal_connections
#Alle ausgehenden Pakete erlauben auf Iface eth0
$FW -A OUTPUT -p ALL -o eth0 -j ACCEPT




__________________
Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled

"Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Mjolnir: 09.03.2009 15:58.

09.03.2009 13:14 E-Mail an Mjolnir senden Homepage von Mjolnir Beiträge von Mjolnir suchen Fügen Sie Mjolnir in Ihre Kontaktliste ein
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Hardware-Mag - Forum » Software » Programme & Tools » iptables



Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH