Port erreichbar obwohl per iptables gesperrt

[Frederik10k]

Hy!

Ich habe einen kleinen VPS laufen bei Hosteurope.
Darauf laufen Webserver, Mailserver, FTP, SSH, DNS, Teamspeak, MySQL, Munin, ect. und Parallels Power Panel auf Port 4643.

Da ich gerne genau wissen möchte welcher Dienst wann wie und wo welche Verbindung hat, richte ich über SSH stehts eigene iptable-Regeln an.


Folgendes Script nutze ich:
36635


Es werden also erst mal alle Port gesperrt, dann meine gewünschten Ports explizit geöffnet.
Das Parallels Power Panel auf Port 4643 ist aber stets erreichbar, obwohl ich diesen Port nicht freigeben möchte?
Auch ein zusätzliches iptables -A INPUT -p tcp --dport 4643 -j DROP und iptables -A INPUT -p udp --dport 4643 -j DROP nützt nichts.


Warum bleibt Port 4643 offen?



P.S.: Ahja, gerade gesehen, SQL auf 3306 bleibt auch erreichbar, obwohl die Regel oben auskommentiert ist.



lg

[Natureshadow]

Hallo,

Hosteurope benutzt für die Virtualisierung OpenVZ/Virtuozo. Du kannst dich also auf Kernelfunktionen wie den netfilter nicht verlassen.

Dafür bräuchtest du eine ordentliche Virtualisierung, z.B. KVM oder Xen, oder echte Hardware.

-nik

[rendegast]

Die dritte Regel?

$iptables -I INPUT -i venet0 -p TCP --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT

ansonsten ala natureshadow


Solche Skripte sind auch schwer nachzuvollziehen,
gut wäre dann ein Status:

Code: Alles auswählen

iptables L -vn --line-numbers
iptables L -vn --line-numbers -t nat
iptables L -vn --line-numbers -t mangle
iptables L -vn --line-numbers -t raw

(eig. nopaste)
Bei Dir:

Chain INPUT (policy DROP 52 packets, 17732 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT icmp -- br0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW,RELATED,ESTABLISHED
2 0 0 ACCEPT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:65535 dpt:8767 state NEW,RELATED,ESTABLISHED
3 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:14534 state NEW,RELATED,ESTABLISHED
4 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:995 state NEW,RELATED,ESTABLISHED
5 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:993 state NEW,RELATED,ESTABLISHED
6 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:443 state NEW,RELATED,ESTABLISHED
7 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:143 state NEW,RELATED,ESTABLISHED
8 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:110 state NEW,RELATED,ESTABLISHED
9 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:80 state NEW,RELATED,ESTABLISHED
10 0 0 ACCEPT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:65535 dpt:53 state NEW,RELATED,ESTABLISHED
11 0 0 ACCEPT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpt:53 state NEW,RELATED,ESTABLISHED
12 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:53 state NEW,RELATED,ESTABLISHED
13 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:25 state NEW,RELATED,ESTABLISHED
14 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:22 state NEW,RELATED,ESTABLISHED
15 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:20 state NEW,RELATED,ESTABLISHED
16 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state NEW
17 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:21 state NEW,RELATED,ESTABLISHED
18 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
19 0 0 LOG tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Apache Access'
20 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
21 52 17732 garbage all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
22 52 17732 garbage all -- * * 0.0.0.0/0 0.0.0.0/0

Demnach ist Dein Ding offen.

[Frederik10k]

facepalm*

Ja $iptables -I INPUT -i venet0 -p TCP --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT macht natürlich alles überhalb 1024 auf. :[

Gleich mal austesten obs ohne die Regel hinhaut.


Edit:
Also ohne die Regel hab ich mir gleich mal aus meinem ISPConfig auf Port 8080 ausgesperrt.
Das funktioniert also. Port 4643 bleibt dennoch offen?


@rendegast:


$iptables -L -vn --line-numbers

36634


$iptables -L -vn --line-numbers -t nat

Code: Alles auswählen

Chain PREROUTING (policy ACCEPT 37 packets, 1924 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 21 packets, 1700 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 42 packets, 3216 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

$iptables -L -vn --line-numbers -t mangle

Code: Alles auswählen

Chain PREROUTING (policy ACCEPT 180K packets, 27M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 180K packets, 27M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 195K packets, 39M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 178K packets, 38M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

$iptables -L -vn --line-numbers -t raw

Code: Alles auswählen

WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module ip_tables not found.
iptables v1.4.8: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

[rendegast]

FATAL: Module ip_tables not found.

Ein vhost, Du kannst keine Module laden, inwieweit die firewall dann Sinn macht?

Eventuell hat "Parallels Power Panel auf Port 4643" vom Provider her einen privilegierten Status,
den Du mit Deinen firewall-Möglichkeiten nicht beeinflussen kannst.
Zur Not binde das Interface an localhost (falls möglich), und mache für eventuelle Benutzung nach außen eine ssh-Portumleitung.


Du siehst in dem Log die Zähler,
Traffic auf dem Port produzieren und ein 'watch iptables-list.script' zeigt Dir dann wo die Pakete aufschlagen.
Alternativ baue mehr indizierte LOG in dem Skript ein, spt/dpt 4643.
Das interface ist auf 4643? 'netstat -tulpen'






------------ Anmerkungen --------------
Die Regeln NEW,RELATED,ESTABLISHED spts/dpts 1024:65535 können zusammengefaßt werden?

Die Sache mit spts/dpts 1024:65535 ("unprivilegiert") ist historisch bedingt,
Habe zwar auch ein paar davon eingebaut, ist technisch aber eigentlich Unfug.

[Frederik10k]

netstat -tulpen führt das Interface auf 4643 nicht auf.
Dennoch ist das Interface erreichbar.

Ich hab jetzt nochmal meinen Server durchsucht. Habe garkeine Software von Parallels installiert.
Kann mir nur denken, dass Hosteurope das interface selbst auf die IP aufschaltet.

[Natureshadow]

Das Plesk wird per DNAT schon vor deinem System abgezweigt, das läuft nicht lokal.