Ist meine iptables so in Ordnung? [changed]

[hakker82]

Ich nutze über das Internet über dhcp und manchmal (wenn ich muss) zusätzlich über vpnc.Die interfaces sind eth1 (wlan) und eth0 (Kabel). Zusätzlich habe ich noch ein loopback-device -> lo.

Ich surfe nur, lade Daten per wget, nutze
* irc
* pop3, smtp
* ssh, scp
* udp brauch ich wahrscheinlich auch

Kann mir da jemand weiterhelfen?
Was kann man inder iptables vergessen, da ist nämlich eine Menge Zeugs, mit dem ich nichts anfangen kann. Könnte mir vielleicht jemand das herausnehmen, was man eh nicht braucht?

http://nopaste.debianforum.de/1650

EDIT: ich bekomme auch diese Fehlermeldung:
Nov 18 15:21:47 wallace kernel: REJECT UDP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00
:08:a1:67:47:80:08:00 SRC=147.142.90.198 DST=147.142.90.255 LEN=78 TOS=0x00 PREC
=0x00 TTL=128 ID=6364 PROTO=UDP SPT=137 DPT=137 LEN=58
Wie lasse ich UDP rein?

[mistersixt]

Wie lasse ich UDP rein?

Code: Alles auswählen

iptables -A INPUT -i eth1 -p udp --sport 137 --dport 137 -j ACCEPT

Aber willst Du die Pakete wirklich durchlassen?

[diedl2003]

Hi,

woher hast du denn das script. Das ist keine firewall sondern müll...
Gehe hier hin: http://www.linuxguruz.com/iptables/
Schaue dir Arno's firewall script oder das Homelansecurity script an.Arno's ist aber besser.
Lese dir seine Doku durch wie es installiert wir und du hast für zu Hause alles was du brauchst.

Gruß und viel Erfolg

[hakker82]

Das Script kommt von einem Generator.

Die Skripte sind ja wahnsinn. Ich will doch keinen 3. Weltkrieg veranstalten. Am Wochenende werde ich jetzt mal versuchen mein Popelskript in Ordnung zu bringen.

[herrchen]

Wie lasse ich UDP rein?

da du ja keinen "weltkrieg" veranstalten willst, mach´ es dir einfach und erlaube in der INPUT chain alles, was vom interface eth1 kommt.

herrchen

[diedl2003]

Das Script kommt von einem Generator.

..dann ist der schlecht oder du hast vergessen, deine interfaces korrekt anzugeben.

Die Skripte sind ja wahnsinn.

Mir ist schon klar, dass beide ziemlich viel Aufwand betreiben. Entweder kennst du dich mit iptables und tcp/ip etwas aus und verstehst was da wenigstens in etwas gemacht wird, oder du musst eh Vertrauen haben. Bei letzterem ist es dann ja nur nötig, die config Dateien zu verstehen und die richtigen Werte einzusetzen (was beides ganz schön beschrieben ist).

Gruß

[hakker82]

Ja, aber die sind mir dann doch zu aufwendig. Gestern habe ich mich dann noch daran gemacht selbst ein Skript zu schreiben, es scheint alles zu tun, zumindest kann ich alles tun. Könnte sich vielleicht jemand mein Skript ansehen und mir ein paar Tipps zur Verbesserung geben ?

Code: Alles auswählen

#!/bin/sh

start() {
	echo "Starting iptables."

	# Laden der Module
	modprobe ip_tables
	modprobe ip_conntrack
	modprobe ip_conntrack_irc
	modprobe ip_conntrack_ftp

	# alte Regeln löschen
	iptables -F

	# Default auf DROP setzen
	iptables -P INPUT DROP
	iptables -P FORWARD DROP
	iptables -P OUTPUT DROP

	# Ãœberwachung einschalten
	iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
	iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

	# loopback-device zulassen
	iptables -A INPUT -i lo -j ACCEPT
	iptables -A OUTPUT -o lo -j ACCEPT

	# DNS-Abfrage zulassen
	iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
	iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
	iptables -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT
	iptables -A INPUT -p tcp --sport 53 --dport 1024: -j ACCEPT

	# http zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
	iptables -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT

	iptables -A OUTPUT -p tcp --sport 1024: --dport 81 -j ACCEPT
	iptables -A INPUT -p tcp --sport 81 --dport 1024: -j ACCEPT

	iptables -A OUTPUT -p tcp --sport 1024: --dport 8080 -j ACCEPT
	iptables -A INPUT -p tcp --sport 8080 --dport 1024: -j ACCEPT

	iptables -A OUTPUT -p tcp --sport 1024: --dport 8081 -j ACCEPT
	iptables -A INPUT -p tcp --sport 8081 --dport 1024: -j ACCEPT

	# https zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
	iptables -A INPUT -p tcp --sport 443 --dport 1024: -j ACCEPT

	# ftp zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
	iptables -A INPUT -p tcp --sport 21 --dport 1024: -j ACCEPT

	# smtp zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT
	iptables -A INPUT -p tcp --sport 25 --dport 1024: -j ACCEPT

	# pop3 zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
	iptables -A INPUT -p tcp --sport 110 --dport 1024: -j ACCEPT

	# pop3 mit ssl zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 995 -j ACCEPT
	iptables -A INPUT -p tcp --sport 995 --dport 1024: -j ACCEPT

	# ssh zulassen
	iptables -A OUTPUT -p tcp --sport 22 --dport 22 -j ACCEPT
	iptables -A INPUT -p tcp --sport 22 --dport 22 -j ACCEPT

	# irc zulassen
	iptables -A OUTPUT -p tcp --sport 6667 --dport 6667 -j ACCEPT
	iptables -A INPUT -p tcp --sport 6667 --dport 6667 -j ACCEPT
	
	# ntp zulassen
	iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT
	iptables -A INPUT -p udp --sport 123 --dport 123 -j ACCEPT

	# ICMP ping zulassen, Schutz vor "ping of death"
	iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
	iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
	# weitere ICMP zulassen
	iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
	iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

	iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
	iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
	iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

	# keine flags gesetzt
	iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
	# SYN und FIN gesetzt
	iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
	# SYN und RST gleichzeitig gesetzt
	iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
	# FIN und RST gleichzeitig gesetzt
	iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
	# FIN ohne ACK
	iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
	# PSH ohne ACK
	iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
	# URG ohne ACK
	iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
	# TCP-FIN timeout (DoS)
	echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

	# weitere ports blocken
	iptables -A INPUT -p UDP --dport 1: -j DROP
	iptables -A INPUT -p TCP --dport 1: -j DROP

	# restliche eingehende und ausgehende Pakete loggen
	iptables -A INPUT -j LOG --log-prefix "firewall-in"
	iptables -A OUTPUT -j LOG --log-prefix "firewall-out"

	# restliche eingehende Pakete blocken
	iptables -A INPUT -j DROP

	# restliche ausgehende Pakete blocken
	iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
	iptables -A OUTPUT -p udp -j REJECT
	iptables -A OUTPUT -j DROP
}

stop() {
	echo "Stopping iptables."
	
	# alle Regeln löschen
	iptables -F

	# Default auf ACCEPT setzen
	iptables -P INPUT ACCEPT
	iptables -P FORWARD ACCEPT
	iptables -P OUTPUT ACCEPT
}

status() {
	iptables -L -vn
}


case "$1" in
	start)
		start
		;;
	stop)
		stop
		;;
	restart)
		stop
		start
		;;
	status)
		status
		;;
	*)
	echo "Syntax: $0 {start|stop|restart|status}"
	exit 1
	;;
esac

[herrchen]

zumindest kann ich alles tun.

Code: Alles auswählen

	iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
	iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

das ist nicht verwunderlich.

herrchen

[hakker82]

D.h. die beiden Zeilen müssen raus. Teste ich gleich mal.

EDIT: Wenn ich die Zeilen rausnehme geht nichts mehr. Die sollen eigentlich für die Überwachung da sein. Das hab ich aus einem anderen Skript.

Dann kommt nämlich sowas:

Code: Alles auswählen

firewall-inIN=eth1 OUT= MAC=00:12:f0:ac:ca:30:00:0b:5f:7b:49:7f:08:00 SRC=129.206.100.81 DST=129.206.209.229 LEN=96 TOS=0x00 PREC=0x00 TTL=62 ID=47271 PROTO=ESP SPI=0xf0f7b88f 
firewall-outIN= OUT=eth1 SRC=129.206.209.229 DST=129.206.100.81 LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=16426 PROTO=ESP SPI=0x5e241c5a

Wieder EDIT:
Er lässt den vpnc nicht kommunizieren. Das ist das Problem. Dann schau ich mir das mal an.

EDIT:
Jetzt kann ich mich mit vpnc einwählen. Musste --sport 500 --dport 500 für udp freischalten. Aber surfen geht immer noch nicht.

Diese Meldungen kommen noch:

Code: Alles auswählen

Nov 19 15:00:48 wallace kernel: firewall-inIN=eth1 OUT= MAC=00:12:f0:ac:ca:30:00
:0b:5f:7b:49:7f:08:00 SRC=129.206.100.81 DST=129.206.209.229 LEN=104 TOS=0x00 PR
EC=0x00 TTL=62 ID=16616 PROTO=ESP SPI=0x3c26cc95 
Nov 19 15:00:51 wallace kernel: firewall-outIN= OUT=eth1 SRC=129.206.209.229 DST
=129.206.100.81 LEN=128 TOS=0x00 PREC=0x00 TTL=64 ID=34 PROTO=ESP SPI=0x1cfdbfc5
 
Nov 19 15:00:51 wallace kernel: firewall-inIN=eth1 OUT= MAC=00:12:f0:ac:ca:30:00
:0b:5f:7b:49:7f:08:00 SRC=129.206.100.81 DST=129.206.209.229 LEN=104 TOS=0x00 PR
EC=0x00 TTL=62 ID=30074 PROTO=ESP SPI=0x3c26cc95 
Nov 19 15:00:52 wallace kernel: firewall-outIN= OUT=eth1 SRC=129.206.209.229 DST
=129.206.100.81 LEN=128 TOS=0x00 PREC=0x00 TTL=64 ID=35 PROTO=ESP SPI=0x1cfdbfc

[hakker82]

Jetzt läuft sie zumindest mal. Montag werde ich dann weiter machen.
Hier ist die aktuelle Version:

Code: Alles auswählen

#!/bin/sh

start() {
	echo "Starting iptables."

	# Laden der Module
	modprobe ip_tables
	modprobe ip_conntrack
	modprobe ip_conntrack_irc
	modprobe ip_conntrack_ftp

	# alte Regeln löschen
	iptables -F

	# Default auf DROP setzen
	iptables -P INPUT DROP
	iptables -P FORWARD DROP
	iptables -P OUTPUT DROP

	# Überwachung einschalten
	iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

	# loopback-device zulassen
	iptables -A INPUT -i lo -j ACCEPT
	iptables -A OUTPUT -o lo -j ACCEPT

	# DNS-Abfrage zulassen
	iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
	iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
	iptables -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT
	iptables -A INPUT -p tcp --sport 53 --dport 1024: -j ACCEPT

	# vpnc zulassen
	iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
	iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT

	# icq zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 5190 -j ACCEPT
	iptables -A INPUT -p tcp --sport 5190 --dport 1024: -j ACCEPT
	
	# http zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
	iptables -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT

	iptables -A OUTPUT -p tcp --sport 1024: --dport 81 -j ACCEPT
	iptables -A INPUT -p tcp --sport 81 --dport 1024: -j ACCEPT

	iptables -A OUTPUT -p tcp --sport 1024: --dport 8080 -j ACCEPT
	iptables -A INPUT -p tcp --sport 8080 --dport 1024: -j ACCEPT

	iptables -A OUTPUT -p tcp --sport 1024: --dport 8081 -j ACCEPT
	iptables -A INPUT -p tcp --sport 8081 --dport 1024: -j ACCEPT

	# https zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
	iptables -A INPUT -p tcp --sport 443 --dport 1024: -j ACCEPT

	# ftp zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
	iptables -A INPUT -p tcp --sport 21 --dport 1024: -j ACCEPT

	# smtp zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT
	iptables -A INPUT -p tcp --sport 25 --dport 1024: -j ACCEPT

	# pop3 zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
	iptables -A INPUT -p tcp --sport 110 --dport 1024: -j ACCEPT

	# pop3 mit ssl zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 995 -j ACCEPT
	iptables -A INPUT -p tcp --sport 995 --dport 1024: -j ACCEPT

	# ssh zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 22 -j ACCEPT
	iptables -A INPUT -p tcp --sport 22 --dport 1024: -j ACCEPT

	# irc zulassen
	iptables -A OUTPUT -p tcp --sport 1024: --dport 6667 -j ACCEPT
	iptables -A INPUT -p tcp --sport 6667 --dport 1024: -j ACCEPT
	
	# ntp zulassen
	iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

	# ICMP ping zulassen, Schutz vor "ping of death"
	iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
	iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
	# weitere ICMP zulassen
	iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
	iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

	iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
	iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
	iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

	# keine flags gesetzt
	iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
	# SYN und FIN gesetzt
	iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
	# SYN und RST gleichzeitig gesetzt
	iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
	# FIN und RST gleichzeitig gesetzt
	iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
	# FIN ohne ACK
	iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
	# PSH ohne ACK
	iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
	# URG ohne ACK
	iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
	# TCP-FIN timeout (DoS)
	echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

	# weitere ports blocken
	iptables -A INPUT -p UDP --dport 1: -j DROP
	iptables -A INPUT -p TCP --dport 1: -j DROP

	# restliche eingehende und ausgehende Pakete loggen
	iptables -A INPUT -j LOG --log-prefix "firewall-in"
	iptables -A OUTPUT -j LOG --log-prefix "firewall-out"

	# restliche eingehende Pakete blocken
	iptables -A INPUT -j DROP

	# restliche ausgehende Pakete blocken
	iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
	iptables -A OUTPUT -p udp -j REJECT
	iptables -A OUTPUT -j DROP
}

stop() {
	echo "Stopping iptables."
	
	# alle Regeln löschen
	iptables -F

	# Default auf ACCEPT setzen
	iptables -P INPUT ACCEPT
	iptables -P FORWARD ACCEPT
	iptables -P OUTPUT ACCEPT
}

status() {
	iptables -L -vn
}


case "$1" in
	start)
		start
		;;
	stop)
		stop
		;;
	restart)
		stop
		start
		;;
	status)
		status
		;;
	*)
	echo "Syntax: $0 {start|stop|restart|status}"
	exit 1
	;;
esac

[herrchen]

Code: Alles auswählen

	# Überwachung einschalten
	iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

mit überwachung hat das nichts zu tun.
mit diesen sinnvollen regeln machst du die hälfte der anderen regeln überflüssig.

Code: Alles auswählen

	# ICMP ping zulassen, Schutz vor "ping of death"
	iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
	iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

wo hast du das denn her?.

Code: Alles auswählen

	# weitere ports blocken
	iptables -A INPUT -p UDP --dport 1: -j DROP
	iptables -A INPUT -p TCP --dport 1: -j DROP

dafür hast du die policy gesetzt.

Code: Alles auswählen

	# restliche eingehende und ausgehende Pakete loggen
	iptables -A INPUT -j LOG --log-prefix "firewall-in"
	iptables -A OUTPUT -j LOG --log-prefix "firewall-out"

für's debugging ok, aber auf dauer müllt es dir das log zu.

Code: Alles auswählen

	# restliche eingehende Pakete blocken
	iptables -A INPUT -j DROP

nochmal?

Code: Alles auswählen

	# restliche ausgehende Pakete blocken

nochmal?

herrchen

[hakker82]

d.h.:
* ich kann das mit der Überwachung entfernen?
* das mit ping finde ich sinnvoll, man könnte das forward aber in input ändern und alles droppen
* das mit dem log ist mir klar, ich würde es gerne in z.B. /var/log/iptables umleiten, aber ich kann weder per google noch über mehrere Foren eine funktionierende Lösung finden
* das mit den restlichen Packateten unten kann ich sein lassen?

[herrchen]

d.h.:
* ich kann das mit der Überwachung entfernen?

nein, nur eher die regeln, die dadurch überflüssig werden.

* das mit ping finde ich sinnvoll,

ich finde es eher sinnlos.

* das mit dem log ist mir klar, ich würde es gerne in z.B. /var/log/iptables umleiten

du kannst auf "syslog-ng" umstellen und dann einen filter benutzen.

* das mit den restlichen Packateten unten kann ich sein lassen?

dafür hast du die policy gesetzt.

herrchen