Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
-
widdix
- Beiträge: 6
- Registriert: 13.07.2006 20:09:29
-
Kontaktdaten:
Beitrag
von widdix » 14.07.2006 08:44:18
Hi!
Bin zur Zeit dabei auf meinem Server eine Firewall mit Iptables aufzusetzen. Mein Problem, mit dem aktuellen Script kann ich vom Server keine Dateien über FTP herunterladen. D.h. auch, dass apt-get nicht richtig funktioniert.
Code: Alles auswählen
#!/bin/bash
#Löscht alle vorhandenen Regeln
iptables -F
#Setzt Standartbehandlung
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Packete für lo durchlassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2222 -j ACCEPT
#FTP (auswärts)
iptables -A INPUT -p tcp -j ACCEPT --dport 21 -m state --state NEW,RELATED
iptables -A INPUT -p tcp -j ACCEPT --dport 20 -m state --state NEW,RELATED
iptables -A INPUT -p tcp -j ACCEPT --dport 1024 -m state --state NEW,RELATED
#DNS
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.145 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.145 --sport 53 -j ACCEPT
#HTTP
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
#Laesst verwandte Pakete zu zugelassenen Ports durch
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Ausgehenden Ping zulassen
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# Loggt alle fehlgeschlagenen Verbindungen (bis auf NetBios)
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
Hat jemand einen Lösungsvorschlag?[/code]
-
Savar
- Beiträge: 7174
- Registriert: 30.07.2004 09:28:58
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Beitrag
von Savar » 14.07.2006 09:41:39
naja du lässt http zu:
Code: Alles auswählen
#HTTP
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
aber ich finde keinen äquivalenten Eintrag für FTP?!
Willkommen im Forum
-
widdix
- Beiträge: 6
- Registriert: 13.07.2006 20:09:29
-
Kontaktdaten:
Beitrag
von widdix » 14.07.2006 09:54:01
Vielen Dank! Ich muss wohl etwas umnachtet gewesen sein.
Mein Iptables-Script sieht jetzt so aus:
Code: Alles auswählen
#!/bin/bash
#Löscht alle vorhandenen Regeln
iptables -F
#Setzt Standartbehandlung
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Packete für lo durchlassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2222 -j ACCEPT
#FTP (auswärts)
iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
#DNS
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.145 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.145 --sport 53 -j ACCEPT
#HTTP
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
#Laesst verwandte Pakete zu zugelassenen Ports durch
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Ausgehenden Ping zulassen
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# Loggt alle fehlgeschlagenen Verbindungen (bis auf NetBios)
iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
Erreichbar soll zur Zeit nur SSH auf Port 2222 sein. Ansonsten möchte ich vom Server aus natürlich apt-get aufrufen können und muss dazu HTTP und FTP durchlassen.
Da das meine erste Iptables ist würde ich gerne wissen, ob sich irgendwo ein Denkfehler eingeschlichen hat. Wenn ja: bitte melden!
Bin dankbar über jede Anregung!
-
nepos
- Beiträge: 5238
- Registriert: 05.01.2005 10:08:12
Beitrag
von nepos » 14.07.2006 22:32:15
Hm, deine Regeln fuer die States ESTABLISHED und RELATED sind so wie ich das sehe wirkungslos, da du nirgends die States entsprechend startest.
Z.B. fuer eingehende SSH-Verbindungen:
Code: Alles auswählen
iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -j ACCEPT
