Hallo, ich habe mir ein script für maine firewall erstellt (/etc/init.s/iptables.sh). Die Firewall funktioniert auch schon, aber was muß ich ausfüren damit Änderungen am script im System übernommen werden ohne das ich immer neu staten muß?
gruß NIxdorf
iptables
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Re: iptables
die alten regeln löschen und das script aufrufen.nixdorf hat geschrieben:was muß ich ausfüren damit Änderungen am script im System übernommen werden ohne das ich immer neu staten muß?
herrchen
ok, zwei Fragen habe ich noch. Ich möchte in der /var/log/messages sehen ween etwas geblockt wurde. Dazu verwende ich z.B.
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j DROP
sehe dann aber in der /var/log/messages nur
iptables v1.2.11: Unknown arg `--log-level
wie muß das den richtig heißen?
Ich kann momenta nicht mehr mit krusader auf andere ftp-server zugreifen um dort internetseiten zu bearbeiten. Was muß ich da bei den output-regeln reigeben? Muß auch bei den Input-Regeln etwas freigegeben werden?
Gruß Nixdorf
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j DROP
sehe dann aber in der /var/log/messages nur
iptables v1.2.11: Unknown arg `--log-level
wie muß das den richtig heißen?
Ich kann momenta nicht mehr mit krusader auf andere ftp-server zugreifen um dort internetseiten zu bearbeiten. Was muß ich da bei den output-regeln reigeben? Muß auch bei den Input-Regeln etwas freigegeben werden?
Gruß Nixdorf
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
das target ist "LOG":nixdorf hat geschrieben: iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j DROP
Code: Alles auswählen
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -j LOG --log-level 7schau mal hier: http://paste.debian.net/2946
Versuch doch erst mal:
ob überhaupt geloggt wird. Source und Destination kannst du auch weglassen.
Code: Alles auswählen
iptables -A INPUT -j LOG
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
von einem client hinter dem router, oder vom router selber?nixdorf hat geschrieben:hab ich geändert. wenn ich weiterhin versuch mit krusader auf einen ftp-server zuzugreifen habe ich keinen erfolg,
du willst ins log schreiben, *nachdem* die pakete verworfen wurden ...die Verbindung kommt nicht zustande. geloggt wird aber auch nichts.
welche regel soll sich denn auf FTP beziehen?wie gibt man ftp frei bei den iptables? oder läuft das unter tcp?
ich habe das mal überflogen und das ist mir aufgefallen:
> 43 iptables -A INPUT -p tcp ! --syn -j ACCEPT
wenn es das sein soll, was ich vermute, dann verwende lieber eine regel, die pakete erlaubt, die zu einer bestehenden verbindung gehören.
> 45 iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p udp --destination-port 53 -j ACCEPT
läuft auf der FW ein DNS?
> 46 iptables -A INPUT -i ippp0 -s 195.50.140.252/24 -p udp -j ACCEPT
> 47 iptables -A INPUT -i ippp0 -s 195.50.140.250/24 -p udp -j ACCEPT
hier gewährst du einem ganzen netz den zugriff.
> 48 iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DROP
was soll das bewirken? du hast policies gesetzt.
> 50 iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j LOG --log-level 7
zuspät ...
das ganze wiederholt sich dann noch einmal, aber von FTP keine spur.
herrchen
herrchen hat geschrieben:von einem client hinter dem router, oder vom router selber?nixdorf hat geschrieben:hab ich geändert. wenn ich weiterhin versuch mit krusader auf einen ftp-server zuzugreifen habe ich keinen erfolg,
du willst ins log schreiben, *nachdem* die pakete verworfen wurden ...die Verbindung kommt nicht zustande. geloggt wird aber auch nichts.
das habe ich aus dem Buch Linux-Netzwerkadministration (Addison - Wesley) übernommen, dort haben sie die Aufforderungen zum loggen immer and das Ende INPUT/OUTPUT/FOREWARD - Regeln geschrieben.
welche regel soll sich denn auf FTP beziehen?wie gibt man ftp frei bei den iptables? oder läuft das unter tcp?
ich habe das mal überflogen und das ist mir aufgefallen:
> 43 iptables -A INPUT -p tcp ! --syn -j ACCEPT
wenn es das sein soll, was ich vermute, dann verwende lieber eine regel, die pakete erlaubt, die zu einer bestehenden verbindung gehören.
habe ich auch aus dem Buch übernommen
> 45 iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p udp --destination-port 53 -j ACCEPT
läuft auf der FW ein DNS?
Die Firewall läuft auf einem Debianrechner (auch Router), der hat auch einen DNS.
> 46 iptables -A INPUT -i ippp0 -s 195.50.140.252/24 -p udp -j ACCEPT
> 47 iptables -A INPUT -i ippp0 -s 195.50.140.250/24 -p udp -j ACCEPT
hier gewährst du einem ganzen netz den zugriff.
es werden UDP-Daten vom Nameserver zugelassen, habe ich auch aus dem Buch übernommen
> 48 iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j DROP
was soll das bewirken? du hast policies gesetzt.
nein, die ist falsch, das sollte die nächste sein.
> 50 iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 -j LOG --log-level 7
zuspät ...
ja wie gesagt habe ich aus dem Buch.
das ganze wiederholt sich dann noch einmal, aber von FTP keine spur.
weil lauten denn die Regeln für ftp? Moneyplex wird auch noch geblockt. was gibt man den da frei?
herrchen
Da habe ich verschiedene Vorschläge.
Zunächst solltest Du die „-j LOG“ Zeilen vor die „-j DROP“ Zeilen setzen. Denn das Regelwerk wir nach der Stelle nicht mehr weiterbearbeitet.
Wenn Du FTP in die Welt „sprechen“ möchtest, ist es erforderlich das zu konfigurieren. Das sollte so aussehen wie bei den http Einstellungen, nur das der –dport 21 ist. Das Protokoll ist ebengalls tcp (INPUT, OUTPUT und FORWARD beachten)
Meiner Meinung nach fehlt in allen drei Ketten auch so etwas:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit den Zeilen 43, 56, 74-75 und 81 kann ich nicht anfangen. Wofür sind die?
Das war es auf den ersten Blick.
Gruß und gelingen
Barteby
Zunächst solltest Du die „-j LOG“ Zeilen vor die „-j DROP“ Zeilen setzen. Denn das Regelwerk wir nach der Stelle nicht mehr weiterbearbeitet.
Wenn Du FTP in die Welt „sprechen“ möchtest, ist es erforderlich das zu konfigurieren. Das sollte so aussehen wie bei den http Einstellungen, nur das der –dport 21 ist. Das Protokoll ist ebengalls tcp (INPUT, OUTPUT und FORWARD beachten)
Meiner Meinung nach fehlt in allen drei Ketten auch so etwas:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit den Zeilen 43, 56, 74-75 und 81 kann ich nicht anfangen. Wofür sind die?
Das war es auf den ersten Blick.
Gruß und gelingen
Barteby
barteby hat geschrieben:Da habe ich verschiedene Vorschläge.
Zunächst solltest Du die „-j LOG“ Zeilen vor die „-j DROP“ Zeilen setzen. Denn das Regelwerk wir nach der Stelle nicht mehr weiterbearbeitet.
so wurde das im Buch gemacht für INPUT:
iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j Drop
Wenn Du FTP in die Welt „sprechen“ möchtest, ist es erforderlich das zu konfigurieren. Das sollte so aussehen wie bei den http Einstellungen, nur das der –dport 21 ist. Das Protokoll ist ebengalls tcp (INPUT, OUTPUT und FORWARD beachten)
Meiner Meinung nach fehlt in allen drei Ketten auch so etwas:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit den Zeilen 43, 56, 74-75 und 81 kann ich nicht anfangen. Wofür sind die?
43: dort werden alle tcp-Antworten angenommen
56: ebenfalls
74-75: hab ich auch aus dem Buch, Daten in das Internet werden Maskiert.
81: ist auch aus dem Buch
Das war es auf den ersten Blick.
Gruß und gelingen
Barteby
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
wenn das so da steht, dann solltest du dir lieber etwas aus dem netz suchen, wo einige kleine iptables scripts besprochen werden.nixdorf hat geschrieben: das habe ich aus dem Buch Linux-Netzwerkadministration (Addison - Wesley)
ja, aber nicht *nachdem* in der regel davor alles verworfen wurde,übernommen, dort haben sie die Aufforderungen zum loggen immer and das Ende INPUT/OUTPUT/FOREWARD - Regeln geschrieben.
herrchen
ps. bitte versuche bei deinen antworten zu trennen, welche textpassagen von dir sind.
[quote="nixdorf"][quote="barteby"]Da habe ich verschiedene Vorschläge.
Zunächst solltest Du die „-j LOG“ Zeilen vor die „-j DROP“ Zeilen setzen. Denn das Regelwerk wir nach der Stelle nicht mehr weiterbearbeitet.
so wurde das im Buch gemacht für INPUT:
iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j Drop
Wenn Du FTP in die Welt „sprechen“ möchtest, ist es erforderlich das zu konfigurieren. Das sollte so aussehen wie bei den http Einstellungen, nur das der –dport 21 ist. Das Protokoll ist ebengalls tcp (INPUT, OUTPUT und FORWARD beachten)
also ungefähr so:
iptables -A INPUT -i ippp0 -s 0.0.0.0/0 -p tcp --destination-port 21 -j ACCEPT
Meiner Meinung nach fehlt in allen drei Ketten auch so etwas:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit den Zeilen 43, 56, 74-75 und 81 kann ich nicht anfangen. Wofür sind die?
43: dort werden alle tcp-Antworten angenommen
56: ebenfalls
74-75: hab ich auch aus dem Buch, Daten in das Internet werden Maskiert.
81: ist auch aus dem Buch
wo wird eingentlich von der firewall geloggt? in der /var/log/messages ? oder syslog?
Gruß Nixdorf
Zunächst solltest Du die „-j LOG“ Zeilen vor die „-j DROP“ Zeilen setzen. Denn das Regelwerk wir nach der Stelle nicht mehr weiterbearbeitet.
so wurde das im Buch gemacht für INPUT:
iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j Drop
Wenn Du FTP in die Welt „sprechen“ möchtest, ist es erforderlich das zu konfigurieren. Das sollte so aussehen wie bei den http Einstellungen, nur das der –dport 21 ist. Das Protokoll ist ebengalls tcp (INPUT, OUTPUT und FORWARD beachten)
also ungefähr so:
iptables -A INPUT -i ippp0 -s 0.0.0.0/0 -p tcp --destination-port 21 -j ACCEPT
Meiner Meinung nach fehlt in allen drei Ketten auch so etwas:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit den Zeilen 43, 56, 74-75 und 81 kann ich nicht anfangen. Wofür sind die?
43: dort werden alle tcp-Antworten angenommen
56: ebenfalls
74-75: hab ich auch aus dem Buch, Daten in das Internet werden Maskiert.
81: ist auch aus dem Buch
wo wird eingentlich von der firewall geloggt? in der /var/log/messages ? oder syslog?
Gruß Nixdorf
-
Sarem_Avuton
- Beiträge: 546
- Registriert: 16.12.2004 09:58:27
- Wohnort: Leipzig
Das kenne ich nicht. Ich logge erst, dann verwerfe (oder rejekte) ich die Pakete.nixdorf hat geschrieben:
so wurde das im Buch gemacht für INPUT:
iptables -A INPUT -s 0.0.0.0/0 -d 0.0.0.0/0 --log-level 7 -j Drop
Wenn Du FTP Dienst anbieten willst, ja. Wenn Du via FTP saugen möchtest:nixdorf hat geschrieben: also ungefähr so:
iptables -A INPUT -i ippp0 -s 0.0.0.0/0 -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -i [Interne NIC] -s 0/0 -d 0/0 -p tcp --dport 21 -j ACCEPT
(OUTPUT und FORWARD nicht außer Acht lassen.
syn Pakete, sind zu Aufbau da. sys-ack / ack sind Folge Pakete, wenn ich nicht irre. Dafür hatte ich die alternative mit established vorgeschlagen.nixdorf hat geschrieben: 43: dort werden alle tcp-Antworten angenommen
56: ebenfalls
Das sieht mir doppelt aus. Die beiden Zeilen daruber machen das doch auch schon, oder?nixdorf hat geschrieben: 74-75: hab ich auch aus dem Buch, Daten in das Internet werden Maskiert.
Bei SuSE in /var/log/messagesnixdorf hat geschrieben: wo wird eingentlich von der firewall geloggt? in der /var/log/messages ? oder syslog?
Gruß
Barteby