Hallo zusammen,
bin neu hier und auch mit dem Thema IPTables nicht vertraut.
Hier nun mal mein Problem:
Ich habe einen Server mit de IP 192.168.0.100
auf dem Server ist VMWare installiert.
Diese haben die IP´s im Bereich von 192.168.35.101-105
Nun will ich den Host (192.168.0.100) mit IPTables absichern.
Es soll also nur noch von einer bestimmten IP (192.168.0.123) per SSH (Port 22) auf die 192.168.0.100 verbunden werden können.
So wie ich mir das alles zusammengelesen habe, mache ich folgendes:
/sbin/iptables -A INPUT -p tcp --dport 22 -s 192.168.0.123 -j ACCEPT
dies wird mit /sbin/iptables -L dann auch richtig angezeigt.
Wenn ich nun allerdings die Regel aktivieren will, (mache ich mit /etc/init.d/networking restart) komme ich nicht wieder auf die Kiste drauf, ohne diese neu zu starten.
Was mach ich hierbei falsch ???
IPTables für einen Root Server
hhmm... dann seh ich Wald vor lauter Bäumen nicht:
So... nun mal ganz von vorne:
Ich hab Debina.
eth1 hat die IP 192.168.0.123 (aus der Datei /etc/network/interfacees) herausgelesen
Ich lasse von einem Client einen Ping auf die 192.168.0.123 laufen...
gebe ich nun folgendes ein:
Wenn ich nun /sbin/iptables -A INPUT -p tcp --dport 43 -d 192.168.0.123 -j DROP eingeben
sollte doch der Ping unterprochen werden.
Wird er aber nicht ????
Steh ich nun ganz auf dem Schlauch ????
Ich hab die Eingabe, die ich oben machen so verstanden:
-A = anfügen
INPUT = alles was reinkommt
-p = Protokoll
--dport = zielport (43 für Ping)
-d = Zielip (auf die ich pinge)
-j DROP = ich verbiete diesen Ping
Was ist nun daran falsch ????
So... nun mal ganz von vorne:
Ich hab Debina.
eth1 hat die IP 192.168.0.123 (aus der Datei /etc/network/interfacees) herausgelesen
Ich lasse von einem Client einen Ping auf die 192.168.0.123 laufen...
gebe ich nun folgendes ein:
Wenn ich nun /sbin/iptables -A INPUT -p tcp --dport 43 -d 192.168.0.123 -j DROP eingeben
sollte doch der Ping unterprochen werden.
Wird er aber nicht ????
Steh ich nun ganz auf dem Schlauch ????
Ich hab die Eingabe, die ich oben machen so verstanden:
-A = anfügen
INPUT = alles was reinkommt
-p = Protokoll
--dport = zielport (43 für Ping)
-d = Zielip (auf die ich pinge)
-j DROP = ich verbiete diesen Ping
Was ist nun daran falsch ????
so... nun hab ich mir mal ein bisschen was zusammenprobiert wie SSH nur von meiner festen IP, den umgebogenen Port für VMWare Console....
nun will ich das ganz aber automatisch beim start haben.
Da hab ich nur zwar schon gelesen... in das Verzeichnis /etc/network/if-up.d den Script reinlegen...
Allerdings fehlt mir hier eine genauere Beschriebung dazu wie z.B.:
wie muss ich die Datei nennen,
...
Könnte mir jemand eine kurze Beschreibung dazu zusammentippen ??
Hier mal ein Auszug aus meiner "Datei" (teilweise auch geklaut)
#!/bin/sh
#
IPTABLES=/sbin/iptables
INTIF=eth1
EXTIP=192.168.0.123
# Jetzt erstmal alles Policys auf ACCEPT setzen und die Regeln
# loeschen, um wirklich bei Punkt Null anzufangen :
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
...
...
# Jetzt alles vom Loopback Device akzeptieren
$IPTABLES -A INPUT -i lo -j ACCEPT
# Dann erst mal alles von aussen Dichtmachen
$IPTABLES -P INPUT DROP
...
...
Der Aufbau sollte so stimmen (hab ich mir abgeschaut)....
nun will ich ja aber wie oben beschrieben, dies ja beim start der Netzwerkkarte automatisch "starten"
Wie muss nun meine Datei heissen ?
liege ich richtig, das diese Datei dann nach /etc/network/if-up.d muss
kann ich dies manuell auch aufrufen ? (also ohne neustart )
Besten Dank im voraus erstmal
nun will ich das ganz aber automatisch beim start haben.
Da hab ich nur zwar schon gelesen... in das Verzeichnis /etc/network/if-up.d den Script reinlegen...
Allerdings fehlt mir hier eine genauere Beschriebung dazu wie z.B.:
wie muss ich die Datei nennen,
...
Könnte mir jemand eine kurze Beschreibung dazu zusammentippen ??
Hier mal ein Auszug aus meiner "Datei" (teilweise auch geklaut)
#!/bin/sh
#
IPTABLES=/sbin/iptables
INTIF=eth1
EXTIP=192.168.0.123
# Jetzt erstmal alles Policys auf ACCEPT setzen und die Regeln
# loeschen, um wirklich bei Punkt Null anzufangen :
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
...
...
# Jetzt alles vom Loopback Device akzeptieren
$IPTABLES -A INPUT -i lo -j ACCEPT
# Dann erst mal alles von aussen Dichtmachen
$IPTABLES -P INPUT DROP
...
...
Der Aufbau sollte so stimmen (hab ich mir abgeschaut)....
nun will ich ja aber wie oben beschrieben, dies ja beim start der Netzwerkkarte automatisch "starten"
Wie muss nun meine Datei heissen ?
liege ich richtig, das diese Datei dann nach /etc/network/if-up.d muss
kann ich dies manuell auch aufrufen ? (also ohne neustart )
Besten Dank im voraus erstmal