iptables - keine Kommunikation zum SSHd mehr

[burnersk]

Hallo,

ich habe gerade ein Problem mit meiner iptables Konfiguration. Ich bekomme keine Verbindung mit meinem SSH Daemon und sehe so langsam den Wald vor lauter Bäumen nicht mehr.

Code: Alles auswählen

#!/bin/sh
echo "Initialisiere Firewall..."
# Module laden
modprobe ip_conntrack_ftp
# Firewallregeln l▒schen
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# eigene Chains erstellen
iptables -N MYDROP
iptables -N MYACCEPT
l Loopback-Kommunikation
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Stateful Inspection
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j MYDROP
iptables -A OUPTUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# eigene Chains MYDROP und MYACCEPT konfigurieren
iptables -A MYDROP -j LOG --log-prefix "FW-DROP: "
iptables -A MYDROP -j DROP
iptables -A MYACCEPT -j LOG --log-prefix "FW-ACCEPT: "
iptables -A MYACCEPT -j ACCEPT
# SSH
iptables -A INPUT -p tcp --dport 22 -j MYACCEPT # SSH
# ICMP
iptables -A INPUT -p icmp -j MYACCEPT # ICMP
iptables -A OUTPUT -p icmp -j MYACCEPT # ICMP
# DNS
iptables -A INPUT -p udp --dport 53 MYACCEPT # DNS
iptables -A INPUT -p tcp --dport 53 MYACCEPT # DNS
iptables -A OUTPUT -p udp --dport 53 MYACCEPT # DNS
iptables -A OUTPUT -p tcp --dport 53 MYACCEPT # DNS
# WWW
iptables -A INPUT -p tcp --dport 80 -j MYACCEPT # HTTP
iptables -A OUTPUT -p tcp --dport 80 -j MYACCEPT # HTTP
iptables -A INPUT -p tcp --dport 443 -j MYACCEPT # HTTPS
#iptables -A OUTPUT -p tcp --dport 443 -j MYACCEPT # HTTPS
# Mail
iptables -A INPUT -p tcp --dport 25 -j MYACCEPT # SMTP
iptables -A OUTPUT -p tcp --dport 25 -j MYACCEPT # SMTP
iptables -A INPUT -p tcp --dport 110 -j MYACCEPT # POP3
#iptables -A OUTPUT -p tcp --dport 110 -j MYACCEPT # POP3
iptables -A INPUT -p tcp --dport 143 -j MYACCEPT # IMAP
#iptables -A OUTPUT -p tcp --dport 143 -j MYACCEPT # IMAP
# FTP
iptables -A INPUT -p tcp --dport 21 -j MYACCEPT # FTP
iptables -A OUTPUT -p tcp --dport 21 -j MYACCEPT # FTP
echo "Firewall ist konfiguriert und aktiv"

System: Debian Etch 4.0
Kernel: 2.6.18-028stab059.9
iptables: v1.3.6

[Duff]

Kann ehrlich gesagt erstmal keinen Fehler sehen.

Du könntest aber noch eine OUTPUT-Regel für ssh anlegen.
Ich würde mal das Logging von iptables aktivieren und dann bei einem ssh-Zugriffversuch mal ins Logfile schauen.

[burnersk]

Hi,

ich habe nun

Code: Alles auswählen

iptables -A OUTPUT -p tcp --dport 22 -j MYACCEPT # SSH

zur SSH Sektion hinzugefügt. Server neugestartet und auch das "ö" da ganz oben zu "oe" umgewandelt.
Ich komme aber immer noch nicht drauf

Wo sind die FW-Logs? Nix von der fw in /var/log/syslog und /var/log/messages...

[Danielx]

Füge mal am Ende deines Skripts folgende Regeln ein, damit du siehst, welche Pakete verworfen werden:

Code: Alles auswählen

iptables -A INPUT -j MYDROP
iptables -A OUTPUT -j MYDROP

Geloggt wird in /var/log/syslog

Dann kannst du z.B. während deinen Versuchen "tail -f /var/log/syslog | grep FW-DROP" mitlaufen lassen, dann siehst du "live" welche Pakete gerade eben verworfen wurden.

Gruß,
Daniel

[burnersk]

Füge mal am Ende deines Skripts folgende Regeln ein, damit du siehst, welche Pakete verworfen werden:

Code: Alles auswählen

iptables -A INPUT -j MYDROP
iptables -A OUTPUT -j MYDROP

Würde er dann nicht alles droppen, weil die (int, ip, port) ungebundene IN/OUT Regel die oberen überschreiben wird?

Ist die DNS Sektion nicht auch falsch, weil kein "-j" vor dem MYACCEPT steht?

[Duff]

Hast du das Skript denn mal manuell aufgerufen?
Wenn dort syntaxtische Fehler sind, wird iptables diese anmeckern.

Außerdem brauchst du nicht den Rechner für die Regeln zu rebooten. Es sollte reichen, einfach nur das Skript auszuführen.

[burnersk]

Hast du das Skript denn mal manuell aufgerufen?

Nein.

Fehler:

modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab059.9/modules.dep (No such file or directory)

[Duff]

Hast du das Skript denn mal manuell aufgerufen?

Nein.

Fehler:

modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab059.9/modules.dep (No such file or directory)

Sollte auch schneller gehen

Hast du denn mal eine ssh-Verbindung ohne iptables-Regeln herstellen können?
Eventuell musst du noch was an der sshd-Konfig ändern.

[burnersk]

Hast du denn mal eine ssh-Verbindung ohne iptables-Regeln herstellen können?

Habe zwar KVM aber nur 14.4Kb Modem. Also arbeite ich nur remote über SSH.

Eventuell musst du noch was an der sshd-Konfig ändern.

Ich wüsste nicht wass ich da einstellen sollte? Der Port ist ja 22. Welche Einstellung sollte dafür noch relevant sein?

[Duff]

Eventuell musst du noch was an der sshd-Konfig ändern.

Ich wüsste nicht wass ich da einstellen sollte? Der Port ist ja 22. Welche Einstellung sollte dafür noch relevant sein?

Wenn der SSH-Zugriff ohne iptables funktioniert, dann nicht.

[Danielx]

Würde er dann nicht alles droppen, weil die (int, ip, port) ungebundene IN/OUT Regel die oberen überschreiben wird?

Nein, warum?
Die beiden Regeln werden doch nur angewendet, wenn am Ende der Tabelle keine der vorherigen Regeln zutrifft.
Und wenn keine der vorherigen Regeln zutrifft, dann wird die Policy genommen, welche du auf DROP (also verwerfen) gesetzt hast:

Code: Alles auswählen

iptables -P INPUT DROP
iptables -P OUTPUT DROP

D.h. wenn du jetzt an die Tabelle meine beiden Regeln anhängst, dann wird am Ende der Tabelle, falls keine der vorherigen Regeln auf das Paket zutraf, anstatt der Policy eben die jeweilige Regel ausgeführt, welche dann das Paket verwirft, so wie es die Policy sowieso machen würde, nur dass eben noch zusätzlich geloggt wird, welche Pakete denn verworfen wurden!

Aber ich habe mir dein Skript mal genau angesehen, hier die Fehler:

1.)

Ist die DNS Sektion nicht auch falsch, weil kein "-j" vor dem MYACCEPT steht?

Ja, da fehlten die "-j".

2.) Zeile 14 ist falsch, das l muss ein # sein:

Code: Alles auswählen

l Loopback-Kommunikation

3.) Der entscheidende Fehler findet sich dann allerdings in Zeile 20, OUPTUT muss OUTPUT heißen:

Code: Alles auswählen

iptables -A OUPTUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Fehler:

modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab059.9/modules.dep (No such file or directory)

Das kommt von der Zeile "modprobe ip_conntrack_ftp"

Gruß,
Daniel

[Duff]

Und genau die Fehler wird man sehen, wenn man das IPTABLES-Skript mal ausführt!

Code: Alles auswählen

./firewall.sh

[burnersk]

Hi,

vielen Dank euch allen. Es sind immer die kleinen Dinge die man nicht sieht, weil "kann nicht falsch sein", welche ein dann selber nie auffallen.
So etwas wie eben OUPTUT stat OUTPUT^^ Nun funktioniert alles perfekt, nochmals danke!

Zum manuellen Ausführen, wenn man per SSH arbeitet, das Script statet und gleich bei den ersten Anweisungen gekickt wird kann man den Fehler, falls eine Meldung dann auch kommt, nicht lesen weil gekickt^^

[Duff]

Da hast du natürlich recht.

Am besten dann vorher lokal auf einem anderen System testen oder aber sich lokal am entfernten Rechner anmelden