iptables - scripte - warum?

[braniz]

Hallo Leute.

Vielleicht könnt Ihr mir meine Verwirrung mit IPTABLES helfen.

Ich bin gerade dabei mich in iptables ein wenig ein zu arbeiten.
Ein grundlegendes Verständnis habe ich.
Regeln erstellen und Verwalten über iptables -I ...... und so.

Was ich nicht so ganz verstehe, ich finde immer wieder Erklärungen in dem iptables scripten verwendet werden.
- wo zu benötige ich diese ich kann doch direkt iptables bearbeiten?
- wenn sie schon mal da sind, wie binde ich dies ein und wann starte ich sie?

Vielleicht kann mir einer noch einen Vernünftigen link zeigen in dem die "Standart" Config von iptables erklärt wird.
z.B. Was bedeuten diese Parameter?
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

Diese links und Wikis habe ich bis jetzt gelesen:
http://de.wikibooks.org/wiki/Linux-Prax ... _IP-Tables
http://wiki.ubuntuusers.de/iptables2?redirect=no
http://www.64-bit.de/dokumentationen/ne ... WTO-3.html

Danke für die Hilfe.
B.

[DeletedUserReAsG]

Vielleicht könnt Ihr mir meine Verwirrung mit IPTABLES helfen.

Gerne: iptables ist kein Akronym und wird daher nicht durchgängig groß geschrieben. Damit sollte diese Verwirrung schon mal behoben sein

Was ich nicht so ganz verstehe, ich finde immer wieder Erklärungen in dem iptables scripten verwendet werden.
- wo zu benötige ich diese ich kann doch direkt iptables bearbeiten?
- wenn sie schon mal da sind, wie binde ich dies ein und wann starte ich sie?

Grob gesagt: wenn du eine Menge Regeln hast, und sie alle per Hand eingeben willst, stößt du irgendwann an deine Grenzen. Sie in ein Script zu packen und das auszuführen reduziert den Zeitbedarf. Eine andere Art Scripte erzeugt iptables-Regeln nach Vorgaben des Users. Das ist bequem für die, welche sich die Syntax nicht merken wollen und es beispielsweise bevorzugen, mit der Maus ein paar Häkchen zu setzen. Eine weitere Art Scripte erzeugt Regeln dynamisch bei Bedarf und wendet sie an. fail2ban wäre sowas.

Was du da gepostet hast, sieht von Weitem nach der Ausgabe von iptables-save aus, iptables-restore wäre dessen Gegenstück. Das ist ganz praktisch, wenn man nach Stunden manuellem Rumbastelns sein NAT, Forwarding, Logging, Routing und den ganzen Kram so zusammen hat, dass es wie gewünscht funktioniert – dann speichert man es mit eben iptables-save irgendwo hin und kann es dann bei Bedarf wieder einfach laden.

Unterm Strich: Wie man iptables bedient, bleibt einem selbst überlassen. Dadurch, dass es scriptbar ist, ist für jeden was dabei.

[braniz]

Hallo Danke für die schnelle Antwort.

Das mit den schipten - soll heissen, ich kann es über iptables -A usw bearbeiten oder über scripte bleibt mir überlassen?
Beides ist ok.

[DeletedUserReAsG]

Auf welchem Weg die Regeln nun konkret gesetzt werden, ist für deren Funktion unerheblich.

[Cae]

z.B. Was bedeuten diese Parameter?
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

Das ist der Output von iptables-save, der sich auch mit iptables-restore wieder einspielen laesst. iptables(8) tut letztendlich dasselbe. Hier wurde fuer die Standard-Tabelle filter (ueber iptables -t filter, kann aber auch weggelassen werden, weil default) je eine ACCEPT-Policy fuer INPUT, FORWARD und OUTPUT gesetzt, analog zu iptables -P. Die Zahlen dahinter sind Paket- und Byte-Zaehler der jeweiligen Kette.

Normalerweise setzt man die Policy auf DROP, schmeisst alle Regeln raus, setzt alle Regeln neu und stellt die Policy wieder zurueck. Zwar kann man theoretisch mit -I und -D und Index-Nummern live an den Regeln herumpatchen, aber das empfiehlt sich nur fuer Szenarien, bei denen man nicht kurzzeitig die komplette Firewall dichtmachen kann.

Gruss Cae

[braniz]

Hallo Leute.

Danke für die schnellen Antworte.
Das hat geholfen.
Werde zwar kein Firewall / iptabels Guru aber das Verständniss wächst.

Werde an eine test Server fleisig testen.

[braniz]

Hallo Leute.

Vielleicht kann mir jemand auf die Sprünge helfen.

Ich habe ein wenig experimentiert und diesen kleinen script geschrieben, ist nur als Fingerübung gedacht nicht als echte Firewall.

Meine Frage nun.
Kann ich den INPUT / OUTPUT auch ohne diese Zeile regeln.
$FW -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Oder gehört diese "zwingend" rein.

Danke.

B.

#!/bin/bash

# Iptables

FW="/sbin/iptables"

# Vorhandene Regelen und Ketten loeschen

$FW -F
$FW -X

# Standartregeln
$FW -P INPUT ACCEPT
$FW -P FORWARD ACCEPT
$FW -P OUTPUT ACCEPT
$FW -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$FW -A INPUT -i lo -j ACCEPT

# Ping blockieren
$FW -A INPUT -p icmp -j DROP
# $FW -A INPUT -p icmp -j ACCEPT

# Erlauben
$FW -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
$FW -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT


# Abschluss diese beiden Zeilen nicht verändern
# Es werden alle INPUT und FORWARD Anfragen abgelehnt
$FW -A INPUT -j REJECT --reject-with icmp-host-prohibited
$FW -A FORWARD -j REJECT --reject-with icmp-host-prohibite

# Speichert die Eingaben und startet den Dienst neu
service iptables save
service iptables restart

[Cae]

Kann ich den INPUT / OUTPUT auch ohne diese Zeile regeln.
$FW -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Die Zeile gehoert zur stateful firewall, d.h. die Firewall "weiss", welchen Zustand eine Verbindung gerade hat. Es werden hier alle Pakete angenommen, die indirekt und direkt zur Verbindung gehoeren. Damit eine Verbindung initial zustande kommen kann, benoetigt es die "--state NEW"-Zeilen weiter unten.

Man kann das vielleicht mit realen Post-Paketen vergleichen: Nur abgestempelte Pakete werden zugestellt (--state RELATED,ESTABLISHED). Allerdings bekommen nur Pakete, die bestimmte Kriterien erfuellen (nicht zu gross, etc.) einen Stempel. Alle anderen Pakete werden nicht versandt, sondern zurueckgeschickt (in etwa -P REJECT) oder verworfen (-P DROP). Wenn du nun die Anweisung zur eigentlichen Zustellung weglaesst, nuetzt dir der Poststempel nix.

Gruss Cae

[DeletedUserReAsG]

OT (sorry dafür): Könntest du, braniz, so Ein- und Ausgaben in der Form

[​code]
#!/bin/bash

# Iptables

FW="/sbin/iptables"

# Vorhandene Regelen und Ketten loeschen

$FW -F
$FW -X

# Standartregeln
$FW -P INPUT ACCEPT

[…]
[/code]

schreiben? Wirst sehen, es ist lesbarer.

[braniz]

ok. merke ich mir für die Zukunft