Iptables Input sperren nicht möglich

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Reizhals
Beiträge: 2
Registriert: 10.04.2016 20:13:09

Iptables Input sperren nicht möglich

Beitrag von Reizhals » 10.04.2016 20:47:26

Hallo zusammen,

habe jahrelang verschiedene Rootserver mit Ubuntu betrieben. Jetzt habe ich es mal mit Debian 8.3 versucht. Habe festgestellt das die Gameserver merklich weniger CPU Last erzeugen, darum wollte ich jetzt auch bei Debian bleiben.

Aber im Gegensatz zu Ubuntu funktionert jetzt keine IP Table Inputsperre mehr. Mit "$IPTABLES -P INPUT DROP" sollte eigentlich doch alles an eingehenden Verkehr ignoriert werden was nicht durch weitere Regeln in meinem Skript geöffnet wird. Also mein Gameserver mit UDP Port 28960 ist ansprechbar, auch wenn ich den Port nicht freigebe. Weiß nicht was ich falsch mache, ich starte mein Script ,dann stehen die Regeln in der /etc/iptables.up.rules .

Hier mein config script

Code: Alles auswählen


#!/bin/bash

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/sbin/iptables

case "$1" in
start)

	# alle alten Regeln entfernen
	echo "Loesche alte Regeln"
	$IPTABLES -F
	$IPTABLES -X
	$IPTABLES -t nat -F

	### ERSTELLE NEUE KETTEN ###
	# Chain to log and reject a port by ICMP port unreachable
	$IPTABLES -N LOGREJECT
	$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
	$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable

	### MAIN PART ###
	$IPTABLES -P INPUT DROP
	$IPTABLES -P FORWARD DROP
	$IPTABLES -P OUTPUT ACCEPT

	$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

	# im Loopback koennen wir jedem trauen - verhindert IP Adressensperre !!
	#$IPTABLES -A INPUT -i lo -j ACCEPT

	# erlaube SSH
	$IPTABLES -A INPUT -p tcp --dport 2088 --tcp-flags ALL SYN -j ACCEPT

	# erlaube Webmin
	$IPTABLES -A INPUT -p tcp --dport 11000 -j ACCEPT

	#####################################################################
	#
	# Alle TCP Packete, die bis hier hin kommen, werden
	# geloggt und rejected
	# Der Rest wird eh per Default Policy gedroppt...

	$IPTABLES -A INPUT -p tcp -j LOGREJECT
	$IPTABLES -A FORWARD -p tcp -j LOGREJECT
    
    # udp Eingagng
    $IPTABLES -A INPUT -p udp -j LOGREJECT


	
		echo "habe fertig"

		;;
*)
        echo "Usage: `basename $0` {start}" >&2
        exit 64
        ;;
esac

exit 0
Nach oben
Reizhals
Beiträge: 2
Registriert: 10.04.2016 20:13:09

Re: Iptables Input sperren nicht möglich

Beitrag von Reizhals » 10.04.2016 21:45:01

habe Fehler nun doch selbst gefunden:

statt

Code: Alles auswählen

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
lässt im Gegensatz zu Ubuntu wohl auch UDP Pakete passieren

jetzt

Code: Alles auswählen

$IPTABLES -A INPUT -p tcp -m tcp -m state --dport <SSH> --state ESTABLISHED,RELATED -j ACCEPT
Allerdings ist SSH Login sehr langsam.
Nach oben
Antworten

Zurück zu „Sicherheit“