iptables-script will ssh nicht freigeben

[padarasa]

Mein script:

Code: Alles auswählen

#!/bin/bash

# Interface-name (Device der aktuellen Verbindung, z.B. ppp0)
DEV_INET=eth0

# Das Device auf LAN-Seite
DEV_LAN=eth0

# Loopback Device. Hat jeder. Finger weg!
DEV_LOOP=lo
IP_LOOP=127.0.0.1

# Kürzel für alle IP-Adressen
ANY=0.0.0.0/0

# Das aktuelle Datum und die Uhrzeit
DATE=$(date)

# Vollen Pfad von iptables
IPTABLES=/sbin/iptables

echo "Lade Module..."
# Benoetigte Module laden
modprobe ip_tables &> /dev/null
modprobe ip_conntrack &> /dev/null
modprobe ip_conntrack_ftp &> /dev/null
modprobe ipt_state &> /dev/null
#modprobe iptable_nat &> /dev/null
modprobe ipt_REJECT &> /dev/null
#modprobe ipt_MASQUERADE  &> /dev/null

echo "Loesche alte Regeln..."
# Alle alten Regeln löschen, anschließend die Default-Policy setzen
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -t filter -X
$IPTABLES -t nat -X
#$IPTABLES -t mangle -X

# Wenn keine andere Regel greift, alles verwerfen
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP

# icmp handling - ICMP-Pakete werden erlaubt, bis auf type 5 (redirect)
$IPTABLES -N icmp_allow
$IPTABLES -N icmp_reject
$IPTABLES -A INPUT -p icmp --icmp-type ! 5 -j icmp_allow
$IPTABLES -A icmp_allow -j ACCEPT

# Verbindungen zum loopback-Device - Das ist NOTWENDIG
$IPTABLES -N lo_accept
$IPTABLES -A INPUT       -i $DEV_LOOP -m state --state NEW -j lo_accept
$IPTABLES -A INPUT       -i $DEV_LOOP -m state --state ESTABLISHED,RELATED -j lo_accept
$IPTABLES -A OUTPUT      -o $DEV_LOOP -m state --state NEW -j lo_accept
$IPTABLES -A OUTPUT      -o $DEV_LOOP -m state --state ESTABLISHED,RELATED -j lo_accept
$IPTABLES -A lo_accept   -j ACCEPT

# Pings vom Gateway erlauben
$IPTABLES -N icmp_gate
$IPTABLES -A OUTPUT    -p icmp -j icmp_gate
$IPTABLES -A icmp_gate -j ACCEPT

# DNS erlauben
$IPTABLES -N dns_gate
$IPTABLES -A OUTPUT -p udp -o $DEV_INET --dport 53 -m state --state NEW -j dns_gate
$IPTABLES -A OUTPUT -p udp -o $DEV_INET --dport 53 -m state --state ESTABLISHED,RELATED -j dns_gate
$IPTABLES -A dns_gate -j ACCEPT

echo "SSH..."
# ssh
$IPTABLES -N ssh_gate
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate
$IPTABLES -A INPUT -p tcp  --dport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A INPUT -p tcp  --dport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate
$IPTABLES -A ssh_gate -j ACCEPT

#rest kommt weg
$IPTABLES -A INPUT   -j REJECT
$IPTABLES -A OUTPUT  -j REJECT

Ich schaff es einfach nicht, auf diesen PC von außer per ssh zu connecten?

[DynaBlaster]

Änder mal das hier:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate

in:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate

[Savar]

kommst du von dem Rechner überhaupt raus? denn du lässt Verbindungen nach draußen ja gar nicht zu?!!!

[padarasa]

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate

Ändert leider nichts.

kommst du von dem Rechner überhaupt raus? denn du lässt Verbindungen nach draußen ja gar nicht zu?!!!

Nicht, bin ich blind?

[Savar]

nee.. denn du darfst ja gar nicht raus (oder zeig mir wo das steht)

was bringt dir:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

[padarasa]

nee.. denn du darfst ja gar nicht raus (oder zeig mir wo das steht)

was bringt dir:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Ich möchte später den Traffic der einzelnen chains einsehen können, das obige würde mir das verhauen.

Was ist mit

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate 

[Savar]

wenn du dich von außen auf den Rechner connecten willst, dann kommst du NIE mit dem QuellPort 22 rein (das ist nur der Zielport) und wenn du bloss Verbindung nach außen auf den Port 22 zulässt, bringt das gar nichts...


und wegen deinen chains:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ssh_gate

[padarasa]

wenn du dich von außen auf den Rechner connecten willst, dann kommst du NIE mit dem QuellPort 22 rein (das ist nur der Zielport) und wenn du bloss Verbindung nach außen auf den Port 22 zulässt, bringt das gar nichts...


und wegen deinen chains:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ssh_gate

ok danke, aber das obige würde doch alles in die ssh_gate chain packen, oder? Also z.B. wenn ich eine chain für ftp schreibe, haut das script mir doch den Traffic in die ssh_gate-chain rein?

[Savar]

dann mach das, was dynablaster vorgeschlagen hatte:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate

aber ob das auf jeden Fall funktioniert

[padarasa]

dann mach das, was dynablaster vorgeschlagen hatte:

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate

aber ob das auf jeden Fall funktioniert

Das hatte ich schon ausprobiert, die Folge ist, dass ich wieder nicht connecten kann. Ist doch zum Haare ausreißen...

[Savar]

versuch doch mal testweise

Code: Alles auswählen

$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ssh_gate

zu benutzen und zu schauen ob es damit geht.. und warum hast du eigentlich DEV_INET und DEV_LAN? ist doch bei dir ein und dasselbe

[Teddybear]

hallo,

mal ne kleine frage.... bin kein IPTABLES Fachmann....
aber... wieso ist immer von OUTPUT die frage.... sollte nicht ein INPUT zugelassen werden???

Laut meinen Englischkenntnissen heisst Output soviel wie nach aussen
und Input nach drinnen... wie wäre es wenn es:

# ssh
$IPTABLES -N ssh_gate
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A OUTPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate
$IPTABLES -A INPUT -p tcp --sport 22 -m state --state NEW -j ssh_gate
$IPTABLES -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ssh_gate
$IPTABLES -A ssh_gate -j ACCEPT

heisst????
Denn OUTPUT geht auf den DPORT
und INPUT kommt vom SPORT
oder nicht????

PS: nicht erschlagen wenn das absoluter müll ist

Greetz Sascha

[Savar]

so.. ich hol schon mal den Hammer raus ..

nein du hast zwar recht, aber ganz am Anfang steht drin das er den "INPUT" zulässt.. nur muss er ja auch die Antworten von seinem SSH Server an den Client über "OUTPUT" zulassen.. und das war nicht der Fall.. und wenn es richtung "OUTPUT" geht, dann ist der SPORT == 22 und DPORT == der_port_woher_die_Anfrage_kam

/edit: "ganz am Anfang" == erste Nachricht in diesem Thema

[Teddybear]

hi,

OK, OK.... ich geh schon in de Ecke...)

Aber mal blöde gefragt, läuft denn der sshd??
kannst du deinen rechner local per ssh connecten??

greetz Sascha

[padarasa]

Aber mal blöde gefragt, läuft denn der sshd??
kannst du deinen rechner local per ssh connecten??

Ohne script gehts.

[Teddybear]

hi,

habe grad unter google was gefunden... wie wärs mit:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

vieleicht geht es dann??

[Savar]

ist vom Prinzip her nichts anderes.. aber versuch es doch einfach?! ..Probieren geht über studieren..