iptables

Mjolnir · 27. Februar 2009

Hallo alle,

ich habe einen root-Server, der im Internet mit eigener IP hängt und auf ubuntu-Basis (zZt. ubuntu 8.10 drauf) läuft. Ich möchte das Ding mit iptables absichern. Bin also am Firewall-Script bauen. Die strange Sache ist: ich meine, das Ganze verstanden zu haben (korrekte Reihenfolge von Regeln, Ketten, blabla). Außerdem orientiere mich an einem Firewallscript eines Scriptgenerators aus dem Internet und diesem hier. Die laufen auch. Erstelle ich jedoch ein eigenes nach selben Muster, blockiert er mir sämtliche Zugänge und ich bin ausgesperrt (ich muss Port 16000 für einen Zugang freihalten). Kann bitte mal jemand mir sagen, was zum Teufel an dem Script nicht stimmt?

Zitat

#!/bin/sh
FW="/sbin/iptables"
#vorhandene Regeln flushen:
$FW -F
$FW -X
#Default-Policies setzen
$FW -P INPUT DROP
$FW -P OUTPUT DROP
$FW -P FORWARD DROP
#Log-Kette
$FW -N log-accept
$FW -A log-accept -j LOG -m limit --limit 6/minute
$FW -A log-accept -j ACCEPT
#Durchgangsregeln
#SSH
$FW -A INPUT -i eth0 -p tcp --dport 16000 -m state --new -j log-accept
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Alles anzeigen

Mjolnir · 3. März 2009

Hat hier wirklich keiner eine Idee? Ich bin für jeden Tipp dankbar...

lazyfruit · 3. März 2009

Hallo Mjolnir,

mein SSH Zugang funktioniert mit folgendem Befehl tadelos:

iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Zum Vergleich dein Befehl:

$FW -A INPUT -i eth0 -p tcp --dport 16000 -m state --new -j log-accept

Klingt ähnlich.... aber nicht gleich.

Probier´s mal damit, bin auch nicht der Firewall-Hai, aber bei mir funktioniert alles.

Gruss

Mjolnir · 9. März 2009

Ich habs nochmal getestet, aber... leider immer noch kein Erfolg. Ich weiß, dass das eigentlich ne Sicherheitslücke ist, aber könntest du mal dein Firewallskript posten? Oder mir per PM schicken oder sowas? Bei iptables-Scripten kommt es ja auch noch immer auf die Reihenfolge der Aufrufe an und solche Sächelchen...

//EDIT:
Strike!
Mit dem folgenden Script kriege ich eine Connection (offenbar musste ich auch explizit ausgehende Pakete zulassen, irgendwie logisch...):

Zitat

#!/bin/sh
FW="/sbin/iptables"
#vorhandene Regeln flushen:
$FW -F
$FW -X
#Default-Policies setzen
$FW -P INPUT DROP
$FW -P OUTPUT DROP
$FW -P FORWARD DROP
$FW -N normal_connections
#Durchgangsregeln
#SSH
$FW -A normal_connections -p tcp --dport 16000 -j ACCEPT
$FW -A normal_connections -p tcp
#Alle einkommenden Pakete an normal_connections uebergeben
$FW -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED,NEW -j normal_connections
#Alle ausgehenden Pakete erlauben auf Iface eth0
$FW -A OUTPUT -p ALL -o eth0 -j ACCEPT

Alles anzeigen

iptables

Teilen

Benutzer online in diesem Thema