Fehler im Firewall script?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
hawkeye78
Beiträge: 430
Registriert: 10.09.2004 17:02:01
Wohnort: castrop-rauxel

Fehler im Firewall script?

Beitrag von hawkeye78 » 27.04.2006 20:16:46

Hallo,

ich habe auf meinem Barebone einen apache, gnump3, ssh sowie mpd installiert. Nun wollte ich das ganze mit einem Firewall Script absichern. Allerdings laufe ich mit den von mir erstellen Regeln ziemlich gegen die Wand d.h. Ich komme zwar mit ssh auf den Server, und soweit ich das Überblicken kann kann ich von dort auch aus pingen, allerdings komme ich weder auf den Apache noch auf gnump3. Das Script schaut im moment so aus:

Code: Alles auswählen

# Löschen aller voreingestellten Regeln und Ketten
iptables -F
iptables -X
iptables -Z

# Alle Policys auf Abweisen setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Loopback aller Verbindungen erlauben
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Zugriffs mittels SSH über das lokale Netz gestatten
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

# Ping in das Netzgestatten
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type echo-request -j ACCEPT

# Fehlermeldungen bei Kommunikation gestatten
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

# Zugriff für GNU mp3 gestatten
iptables -A OUTPUT -p tcp -s 192.168.1.0/24 --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --sport 8888 -j ACCEPT

# Zugriff auf den Webserver gestatten
iptables -A OUTPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
Da ich im moment keine Ahnung habe woran es noch liegen könnte wäre ich über einen entsprechenden Tipp auf jeden Fall sehr dankbar.
Viele Grüsse
Dan
Nach oben
DeletedUserReAsG

Beitrag von DeletedUserReAsG » 27.04.2006 20:26:53

Code: Alles auswählen

# Zugriff auf den Webserver gestatten
iptables -A OUTPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
Source- und Destinationport vertauscht?

cu
Nach oben
Benutzeravatar
chroiss
Beiträge: 332
Registriert: 29.10.2004 09:29:43
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: BREMEN (in Wellington,NZ a.D) (in OLDENBURG a.D.) (in BREMEN a.D.) (in COLOGNE a.D.)

Beitrag von chroiss » 27.04.2006 23:16:34

Wie sind denn Deine Netzwerkeinstelleungen ?
Hat dein rechner nur eine interne Adresse ?
Und die Dienste sollen nur im internen Netzwerk beschränkt werden ?

Wenn ja , warum dann Forward ?
wenn nein , dann sind deine Regeln unvollständig und die Forward Kette nicht definiert , ausser, das alles gedropt wird ....

Gruss Chroiss
Nach oben
hawkeye78
Beiträge: 430
Registriert: 10.09.2004 17:02:01
Wohnort: castrop-rauxel

Beitrag von hawkeye78 » 28.04.2006 08:03:24

Guten Morgen,

@niemand:
Vielen dank, ich bin manchmal wirklich einfach BLIND, und daher vielen dank für deinen Hinweis.

@chroiss
Ja der Rechner soll nur aus dem internen Netz erreichbar sein, und daher hat der Rechner auch nur eine interne IP, warum nun allerdings die Policy für FORWARD mit drin steht kann ich auch nur damit erklären das ich irgendwann einmal ein Script geschrieben und aus dem die entsprechenden Stellen mit heraus kopiert habe :)
Allerdings muß ich auch sagen stört es mich nicht weiter wenn eine Policy auf DROP steht die ich gar nicht benötige (frisst ja kein Brot ;) )

Allerdings hätte ich auch eine Frage, was für Ports benötige ich für eine Samba Freigabe? Im Chat hat man mir gestern gesagt ich benötige UDP/TCP 135, 137, 138, 139 und 445. Da ich allerdings nirgendwo Dokumentiert finde ob ich wirklich 135 benötigt bin ich nun etwas unsicher(ich habe auch etwas von Port 1080 (oder so) gelesen).
Viele Grüsse
Dan
Nach oben
Danielx
Beiträge: 6419
Registriert: 14.08.2003 17:52:23

Beitrag von Danielx » 28.04.2006 11:10:19

hawkeye78 hat geschrieben:Allerdings hätte ich auch eine Frage, was für Ports benötige ich für eine Samba Freigabe? Im Chat hat man mir gestern gesagt ich benötige UDP/TCP 135, 137, 138, 139 und 445. Da ich allerdings nirgendwo Dokumentiert finde ob ich wirklich 135 benötigt bin ich nun etwas unsicher(ich habe auch etwas von Port 1080 (oder so) gelesen).

Code: Alles auswählen

less /etc/services | grep netbios
netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp
netbios-dgm     138/tcp                         # NETBIOS Datagram Service
netbios-dgm     138/udp
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp

Code: Alles auswählen

less /etc/services | grep 445
microsoft-ds    445/tcp                         # Microsoft Naked CIFS
microsoft-ds    445/udp
Gruß,
Daniel
Nach oben
Antworten

Zurück zu „Netzwerk“