IPtables Beginner braucht etwas Hilfestellung

[lancs]

Hello,

ich spiele gerade etwas mit iptables. Ehrlich gesagt habe ich mich nie so richtig damit befasst das soll sich aber jetzt ändern.

Zu meinen Gegebenheiten:

wlo1 geht ins Internet, die IP wird automatisch vom Router gezogen.

Die Namensauflösung funktioniert nur teilweise, soll heißen nicht auf allen Internetseiten. Wäre super wenn jemand mal drüber schauen könnte.

Code: Alles auswählen

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i wlo1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlo1 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i wlo1 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlo1 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o wlo1 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i wlo1 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -p udp -o wlo1 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i wlo1 --sport 53 -j ACCEPT

iptables -A OUTPUT -p tcp -o wlo1 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i wlo1 --sport 53 -j ACCEPT

Vielen Dank und Grüße
lancs

[sniggles]

Läuft dieser Filter auf dem Router? oder Server? oder auf dem Client?

Hast du einen Webserver am laufen der nur https kann/soll?

Du lässt Anfragen auf Port 443 zu, und zwar ausgehende und eingehende. Während der Port 80 nur eingehende Anfragen zu lässt. Also der Zugriff auf Internetseiten die auf Port 80 liegen können so nicht erreicht werden.

Für Clients ist reinkommend (input) immer der Source (Quelle, 80,443) und
rausgehend (output) ist dann immer Destination (Ziel, 80,443). Beim DNS hast du es ja richtig.

Wenn man einen Server im Netzwerk betreibt, dann ist reinkommend das Ziel, und ausgehend die Quelle.

[lancs]

@sniggles

Läuft dieser Filter auf dem Router? oder Server? oder auf dem Client?

Auf einen Client, ich habe aber auch zu übungszwecken ein paar Server Dienste installiert.

Hast du einen Webserver am laufen der nur https kann/soll?

Nein

Für Clients ist reinkommend (input) immer der Source (Quelle, 80,443) und
rausgehend (output) ist dann immer Destination (Ziel, 80,443). Beim DNS hast du es ja richtig.

Das klingt Logisch, mir fehlen noch ein paar Zusammenhänge. Ich suche immer noch, nach einer guten Seite um Iptables/Netfilter besser zu verstehen. Das Internet ist ja ziemlich voll von Iptables Howto, aber sehr oft zu viel Infomationen die dann nur verwirren.

lancs

[Dimejo]

Eine der ersten Regeln sollte immer bestehende Verbindungen erlauben. Das trifft auf die meißten Pakete zu.

Code: Alles auswählen

iptables -A INPUT -i wlo1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlo1 -m conntrack --ctstate ESTABLISHED -j ACCEPT