ich dachte ich könnte mich an ein paar Regeln für meinen Server wagen aber leider bin ist der Server nach Anwendung der Regeln ein bischen zu sicher. Soll heißen ich bin auch draussen
Also ich will meinen Webserver "zwiebel" ersetzen mit zwei Servern. Auf Einem, "www1" läuft der http-server und auf "db1" soll mysql und memcached laufen. Und um die iptables auf db1 geht es. Ziel ist db1 solll von ausen nicht erreichbar sein und die Kommunikation über das interne Netzwerk, auf Memcached, Mysql und ssh beschränkt werden. Leider ist wie gesagt nach Anwendung meiner iptables-Rules mein ssh Zugang weg (Ja ich logge mich übers interne Netzwerk ein und starte dann mein Firewall Script worauf dann die Verbindung abbricht) Wer kann mir sagen was da nicht stimmt.
iptables="/sbin/iptables"
db1="10.1.7.138"
zwiebel="10.1.24.8"
www1="10.1.2.182"
$iptables -F
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptables -P OUTPUT DROP
$iptables -A INPUT -p tcp -s $zwiebel --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A INPUT -p tcp -s $www1 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# loopback
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
$iptables -A INPUT -i eth0:0 -p tcp -s $www1 --dport 11211 -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A INPUT -i eth0:0 -p tcp -s $www1 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -o eth0:0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
Hat ihr vielleicht sonst noch irgendwelche Tipps um hier möglichst restriktive Regeln zu definieren?
mit freundlichen Grüßen
boeseMiezekatze
