Portforwarding mit firewall

[roli]

Hi,

Code: Alles auswählen

iptables -A FORWARD -i eth3 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

ich hatte zwar nicht die Zeit alles in Ruhe zu lesen, aber das ich als Input das gleich Device wie als Output verwende sieht fuer mich irgendwie seltsam aus.

[malteklein]

Misst immer noch keine Aenderung!

Heisst es also, dass
Chain INPUT
" 0 0 DROP 0 -- any any anywhere anywhere"

generell alles bloggt auch die nachgehenden ACCEPT befehle?

[DynaBlaster]

Ja, der iptables-Regelsatz wird von oben nach unten abgearbeitet. D.h., dass die erste zutreffende Regel auf das Paket angewendet wird, alle nachfolgende Regeln spielen dann keine Rolle mehr.

Aber noch einmal: dein ganzens Script am Stück wäre hilfreich, ein

Code: Alles auswählen

0     0 DROP       0    --  any    any     anywhere             anywhere

ist ziemlich schwer zu interpretieren. Die beiden Nullen am Anfang deuten allerdings darauf hin, dass diese Regel bisher auf kein Paket zugetroffen hat.

[malteklein]

Ja, der iptables-Regelsatz wird von oben nach unten abgearbeitet. D.h., dass die erste zutreffende Regel auf das Paket angewendet wird, alle nachfolgende Regeln spielen dann keine Rolle mehr.

Aber noch einmal: dein ganzens Script am Stück wäre hilfreich, ein

Code: Alles auswählen

0     0 DROP       0    --  any    any     anywhere             anywhere

ist ziemlich schwer zu interpretieren. Die beiden Nullen am Anfang deuten allerdings darauf hin, dass diese Regel bisher auf kein Paket zugetroffen hat.

Genau das habe ich auch vorhin rausgefunden,
ich bin jetzt dabei meine iptable wieder herzustellen.
Aber bei iptables-restore und iptables-restore -t -v macht er einfach nichts mehr.
Ich warte schon seit einer halben Stunde.

Desweiteren konnte ich keine configdatei fuer meine aktuelle iptable finden, ich muss dann die regeln fuer das Portforwarding vor der dropall zeile schreiben.

Hast du eine Ahnung wo die iptable config ist?

Ich benutze leider debian etch nicht woody.
Ich hatte mich damals beim runterladen versehen und bisher keine Zeit gehabt woody noch einmal runterzuladen.

Was mich auch wundert warum ganz oben follgende Zeilte steht:
INPUT
2578 5631K ACCEPT 0 -- lo any anywhere anywhere
ISt das nichte igentlich eine Sicherheitsluecke?

[malteklein]

Das Mit dem DROP scheint wohl geloest zu sein,
allerdings funktionieren die Anweisung zum Forwarden immer noch nicht.

Ich 2 scripte, eins aus dem Internetz und eins von euch(also auch aus dem Internetz)
Das Forwarden geht nur wenn ich beide Scripte nach einander ausfuehre, warum weiss ich leider nicht.


Script 1.sh

Code: Alles auswählen

PORT=2668
TARGET_PORT=2668
DMZ_IP=10.0.0.23
DMZ_IF=eth3
NET_LAN=10.0.0.0/8


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -i eth4 -p tcp --dport $PORT -j ACCEPT

iptables -A FORWARD -i ppp0 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -i eth3 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

iptables -A PREROUTING -t nat -i eth3 -p tcp --dport $PORT -j DNAT --to $DMZ_IP:$PORT

#iptables -A PREROUTING -t nat -i eth3 -p tcp --dport $PORT -j DNAT --to $DMZ_IP:$PORT
#iptables -A PREROUTING -t nat -i eth3 -p tcp --dport $PORT -j DNAT --to $DMZ_IP:$PORT

#iptables -t nat -A POSTROUTING -d $NET_LAN -s $NET_LAN   -j SNAT --to-source $DMZ_IP

Script 2.sh

Code: Alles auswählen

IF_INET=ppp0    # internet-facing interface
IF_LAN=eth3    # lan-facing interface

IP_LAN=10.0.0.10     # IP address of $IF_LAN


LAN_HOST[0]=10.0.0.23  # IP address of linux box
#LAN_HOST[1]=192.168.0.xx  # ...
#...

NET_LAN=10.0.0.0/8

TCP_PORTS=2688,3668   # open tcp ports


iptables -A FORWARD -i $IF_LAN -j ACCEPT
iptables -A FORWARD -d ${LAN_HOST[0]} -j ACCEPT

iptables -t nat -A PREROUTING -d $IP_LAN -p TCP -m multiport \
  --dports $TCP_PORTS -j DNAT --to-destination ${LAN_HOST[0]}

# for LAN computers to access each other using external addresses
iptables -t nat -A POSTROUTING -d $NET_LAN -s $NET_LAN \
  -j SNAT --to-source $IP_LAN

iptables -A FORWARD -p tcp -i $IF_LAN -o $IF_LAN -d ${LAN_HOST[0]} -m multiport --dport $TCP_PORTS -j ACCEPT
iptables -A FORWARD -p tcp -i $IF_INET -o $IF_LAN -d ${LAN_HOST[0]} -m multiport --dport $TCP_PORTS -j ACCEPT


iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2688 -j DNAT --to ${LAN_HOST[0]}

[DynaBlaster]

Hast du eine Ahnung wo die iptable config ist?

Nicht wirklich. Bei einer Standard-Installation sind keine iptables-regeln aktiv. Wenn du ein zusätzliches Debian-Paket installiert hast, dass diese Aufgabe übernommen hat bzw. anscheinend übernimmt, würde ich dessen Deinstallation vorschlagen und im Anschluss eine manuelle Einrichtung durchführen - sprich ein eigenes Script erstellen, nach /etc/init.d/ kopieren und anschließend in die Runlevel verlinken ...

Ich benutze leider debian etch nicht woody.
Ich hatte mich damals beim runterladen versehen und bisher keine Zeit gehabt woody noch einmal runterzuladen

Woody solltest du auch nicht mehr verwenden. Etch ist zur Zeit der Stable-Zweig von Debian.

Hier ist jetzt ein Script, dass du so übernehmen kannst:

Code: Alles auswählen

#!/bin/bash

#---------------------------------------------
# Spezifikationen
#---------------------------------------------

LAN_DEV=eth3
LAN_IP=10.0.0.10
LAN_NETWORK=10.0.0.0/8
EXT_DEV=ppp0

#--------------------------------------------------------
# stopping
#--------------------------------------------------------

function stopFirewall() {

# alle Ketten und Regeln löschen
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

# default policies setzen: ALLES ERLAUBT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Routing-Fähigkeiten des Kernels aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward

}

#---------------------------------------------------------
# starting
#---------------------------------------------------------

function startFirewall() {

# alle Ketten und Regeln löschen
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

# default policies setzen: ALLES VERBOTEN
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Routing-Fähigkeiten des Kernels aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward

# Loopback-Device erlauben
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#------------------------------------------------
# INPUT
#------------------------------------------------

# hier können einzelne Ports für Dienste geöffnet werden, die auf dem Rechner selbst laufen
# beispielsweise ein SSH-Server auf TCP-Port 22

# Beispiel A) der SSH-Server ist nur aus dem LAN erreichbar
#iptables -A INPUT -i $LAN_DEV -s $LAN_NETWORK -d $LAN_IP -p TCP --dport 22 -m state --state NEW -j ACCEPT
# Besipiel B) der SSH-Server ist von überall erreichbar
#iptables -A INPUT -p TCP --dport 22 -m state --state NEW -j ACCEPT

# connection-tracking
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#------------------------------------------------
# OUTPUT
#------------------------------------------------

# hier wird der ausgehende Traffic des Rechners konfiguriert

# Beispiel A) nur den SSH-Server-Traffic ins LAN erlauben
#iptables -A OUTPUT -o $LAN_DEV -d $LAN_NETWORK -s $LAN_IP -p TCP --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Beispiel B) nur den SSH-Traffic erlauben, allerdings von überall
#iptables -A OUTPUT -p TCP --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Bespiel C) dem Rechner generellen Zugang zum Internet erlauben: Traffic der vom Rechner selbst generiert wird, wird grundsätzlich erlaubt
# die Antwortpakete werden über "iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT" erlaubt
iptables -A OUTPUT -j ACCEPT

#------------------------------------------------
# FORWARD
#------------------------------------------------

# alle Clients aus dem LAN haben vollen Internetzugriff über ppp0
iptables -A FORWARD -i $LAN_DEV -o $EXT_DEV -s $LAN_NETWORK -j ACCEPT
iptables -A FORWARD -i $EXT_DEV -o $LAN_DEV -d $LAN_NETWORK -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXT_DEV -j MASQUERADE
# damit dein Serverdienst auf 10.0.0.23:2688 aus dem Internet erreichbar ist:
iptables -t nat -A PREROUTING -i $EXT_DEV -p TCP --dport 2688 -j DNAT --to 10.0.0.23:2688
iptables -A FORWARD -i $EXT_DEV -o $LAN_DEV -d $LAN_NETWORK -p TCP --dport 2688 -m state --state NEW -j ACCEPT

}

#-------------------------------------------------------------
# start-stop script
#-------------------------------------------------------------

case "$1" in
start)
echo -n "Starting Firewall"
startFirewall
echo "... done"
;;

stop)
echo -n "Stopping Firewall"
stopFirewall
echo "... done"
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac

Ich habe das ganze jetzt aus dem Kopf gemacht - also keine Gewähr auf Funktion - ausserdem sollte es noch an deine weiteren Bedürfnisse angpeasst werden. Zum Testen des Scripts musst du dich zwingerndermassen aus dem Internet auf den Serverdienst 10.0.0.23:2688 verbinden, denn für den LAN-seitigen Zugriff habe ich nichts konfiguriert - macht imho auch keinen Sinn, da sich die Rechner aus dem LAN ja direkt mit 10.0.0.23:2688 verbinden können - ohne den Umweg über 10.0.0.10.

[malteklein]

Ja super,
danke fuer deine Hilfe.

Ich werde jetzt aber erst einmal nicht am Server rumfummeln...
Ich werde mir das fuer Sonntag vornehmen.

Das war eine harte Nuss, 2 Probleme sind aufeinander getroffen.
Einmal das unvollstaendige script fuer das Portforwarding und dann noch der fiesse Allesdroper.

Wenn ich das mit der Unvollstaendigkeit des SCriptes nicht emerkt haette, dann waere ich wahrscheinlich noch uebermorgen Nacht am frickeln.

Darf man fragen, was beim ersten SCript gefehlt hat?
Ich habe es versucht rauszufinden, aber zu keinem ERgebnis gekommen.

[DynaBlaster]

Darf man fragen, was beim ersten SCript gefehlt hat?
Ich habe es versucht rauszufinden, aber zu keinem ERgebnis gekommen

Wenn du das hier meinst:

Code: Alles auswählen

PORT=2668
TARGET_PORT=2668
DMZ_IP=10.0.0.23
DMZ_IF=eth3
NET_LAN=10.0.0.0/8

# dies hier betrifft alle Pakete, die zu einer bestehenden Verbindung gehören 
# und für den Rechner [10.0.0.10] bestimmt sind
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# das hier betrfifft Pakete, die auf eth4 ankommen und eine neue Verbindung  mit Port TCP 2668 aufbauen wollen
# überflüssig, eth4 bekommt keine Pakete, sondern ppp0
iptables -A FORWARD -m state --state NEW -i eth4 -p tcp --dport $PORT -j ACCEPT

# hier werden alle Pakete durchgelassen, die an ppp0 ankommen und den Rechner über eth3 wieder verlassen
iptables -A FORWARD -i ppp0 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# hier werden alle Paket die an eth3 ankommen und den Rechner über eth3 wieder verlassen, erlaubt
# macht imho keinen Sinn, denn diese Pakete können 10.0.0.23 auch direkt erreichen
iptables -A FORWARD -i eth3 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# hier nun werden Pakete, die an eth3 ankommen und als Zielport TCP 2668 ausweisen, so manipuliert,
# dass sie nach 10.0.0.23:2668 geschickt werden
# eigentlich auch überflüssig, da die Clients aus 10.0.0.0/8 
# den Server 10.0.0.23:2668 auch direkt erreichen können
iptables -A PREROUTING -t nat -i eth3 -p tcp --dport $PORT -j DNAT --to $DMZ_IP:$PORT

Das was du da zusammengefrickelt hast, ist im Grunde ziemlich redundant, denn es passiert folgendes: Nehmen wir an, du willst von einem 3. Rechner (meinetwegen 10.0.0.100) im LAN den Serverdienst 10.0.0.23:2668 erreichen. Wenn du das über die IP 10.0.0.23 versuchst, klappt das problemlos, weil 10.0.0.10 unbeteiligt ist. Wenn du allerdings die ppp0-IP vom Rechner mit der LAN-IP 10.0.0.10 nimmst, treten deine Probleme auf. 10.0.0.100 will 123.123.123.123:2668 (deine ppp0-IP) erreichen, schickt also alles nach 10.0.0.10:2668 und bittet um Weiterleitung nach 123.123.123.123:2668. 10.0.0.10 merkt aber, dass er 123.123.123.123 selber ist und schickt alles wieder zurück ins Netz 10.0.0.0/8, weil die PREROUTING-Regel das Umsetzen von 2668 nach 10.0.0.23:2668 befiehlt. So landen Pakete in der FORWARD-CHAIN, die da eigentlich nix zu suchen haben, nämlich aus dem Netz 10.0.0.0/8 für das Netz 10.0.0.0/8 - deshalb auch die Syslog-Meldungen mit IN=eth3 OUT=eth3 ....

Soviel dazu ...

Was hier fehlte, damit der Zugriff aus dem Internet auch klappt, ist das hier:

Code: Alles auswählen

# der "Rückweg" von eth3 über ppp0 ins Internet
iptables -A FORWARD -i eth3 -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# und das PREROUTING für Pakete aus dem Internet
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport $PORT -j DNAT --to $DMZ_IP:$PORT

[gms]

@DynaBlaster
sehr schönes Script, wäre eine schöne Alternative (oder Ersatz ) für das im Wiki angebotene Script http://wiki.debianforum.de/In2minDebian ... bianmanier
Mit einem durchgängigen Connection-Tracking kann mit 4-5 Regeln für eine Standardkonfiguration und zwei zusätzliche Regeln für das Portforwarding eine sicherere Firewall aufgebaut werden.

und in der Forwad Chain gibt es kein ACCEPT für State NEW ?

Nein, nur für "ESTABLISHED,RELATED"

Funktioniert das Portforwarding überhaupt bei dir, hast du das schon mal getestet ?
Wie gesagt, üblicherweise müssen in der Forward Kette auch Pakete mit dem State NEW durchgelassen werden, z.B so wie hier in DynaBlaster's Script:

Code: Alles auswählen

iptables -A FORWARD -i $EXT_DEV -o $LAN_DEV -d $LAN_NETWORK -p TCP --dport 2688 -m state --state NEW -j ACCEPT

Ansonsten wäre das ein Grund ein CERT Vulnerability Advisory anzulegen

Gruß
gms

[DynaBlaster]

Danke für die Lorbeeren, aber eigentlich ist das ganze nur eine leichte Abwandlung der Scripte aus dem Firewallscripts-Thread. Ich reiche die Lorbeeren also gerne weiter an k-pl

PS: Habe das Script an einer Stelle noch etwas abgeändert. Das hier:

Code: Alles auswählen

#iptables -A OUTPUT -o $LAN_DEV -s $LAN_NETWORK -s $LAN_IP -p TCP --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

muss sinvollerweise natürlich so lauten:

Code: Alles auswählen

#iptables -A OUTPUT -o $LAN_DEV -d $LAN_NETWORK -s $LAN_IP -p TCP --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

[gms]

In der OUTPUT-Kette müßte man eigentlich nicht zwischen den drei verschiedenen Beispielen differenzieren, folgende Regel kann ebenso für alle Beispiele eingesetzt werden:

Code: Alles auswählen

#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Diese zusätzlichen Abfragen werden eigentlich schon durch das Connection-Tracking abgefangen und würden, wenn man z.B FTP statt SSH einsetzt, die RELATED Pakete behindern.

Oder gleich wie im aktuellen Fall einfach alles in der OUTPUT-Kette erlauben

Gruß
gms

[DynaBlaster]

Code: Alles auswählen

#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Die Unterscheidung der 3 Fälle habe ich gemacht, damit malteklein eine grundsätzliche Vorstellung davon erhält, wie die Pakete die einzelnen Ketten durchlaufen. Das Problem bei dieser OUTPUT-Regel ist halt, dass der Rechner von sich aus keine Verbindungen aufbauen kann, sondern nur auf fremd-initiierte Verbindungen antworten darf. Das kann unter Umständen natürlich sinnvoll sein, allerdings ist so selbst ein "aptitude update" oder gar eine simple DNS-Anfrage unmöglich.

Wenn man dem "Connection-Tracking-Prinzip" treu bleiben will, müsste man das dann bespielsweise für DNS und HTTP so erweitern:

Code: Alles auswählen

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p UDP --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -j ACCEPT

[gms]

Das Problem bei dieser OUTPUT-Regel ist halt, dass der Rechner von sich aus keine Verbindungen aufbauen kann, sondern nur auf fremd-initiierte Verbindungen antworten darf. Das kann unter Umständen natürlich sinnvoll sein, allerdings ist so selbst ein "aptitude update" oder gar eine simple DNS-Anfrage unmöglich.

deshalb habe ich dann ja auch gemeint, gleich alles in der OUTPUT-Kette erlauben

Wenn man dem "Connection-Tracking-Prinzip" treu bleiben will, müsste man das dann bespielsweise für DNS und HTTP so erweitern:

Code: Alles auswählen

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p UDP --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -j ACCEPT

so ist das natürlich am "sichersten", ist aber auch wartungsintensiver als z.B:

Code: Alles auswählen

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Gruß
gms

[DynaBlaster]

Hehe, aber dann kann ich auch gleich die Default-Policy der OUTPUT-Kette auf ACCEPT lassen und mir die spätere Definintion von OUTPUT-Regeln sparen.
Wie auch immer: meine Output-Policy steht privat jedenfalls auf ACCEPT. Mir gings halt hier ums Prinzip.

[gms]

Hehe, aber dann kann ich auch gleich die Default-Policy der OUTPUT-Kette auf ACCEPT lassen und mir die spätere Definintion von OUTPUT-Regeln sparen.
Wie auch immer: meine Output-Policy steht privat jedenfalls auf ACCEPT.

sehe ich auch so.
Sobald Port 80 nach außen offen ist, und das ist ja praktisch immer der Fall, kann auch eine jede Schadsoftware nach Hause telephonieren. Daher behindert man sich mit zusätzlichen OUTPUT-Regeln höchstens selber. Wer wirklich auch den rausgehenden Traffic filtern möchte, kann das sinnvoller Weise nur mit einer Application Firewall (eventuell geht das auch noch über das "owner" Modul )

Mir gings halt hier ums Prinzip.

rechts so, weiter so
mir auch

Gruß
gms