iptables

[sirius01]

Hallo @all

Ich habe bereits einiges über iptables gelesen (vielleicht zu viel) irgendwie habe ich mich
jedenfalls verzettelt.

Ich möchte über eth1 nur port80 als eingehenden Port zulassen.
Eth0 dagegen möchte ich nicht ändern. Wie sieht hier das Skript aus?

Vielen Dank im voraus

gruß sirius01

[Cae]

Vermutlich tut

Code: Alles auswählen

iptables -A INPUT  -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT  -i eth1 -j REJECT
iptables -A OUTPUT -o eth1 -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -j REJECT

ungefaehr das, was du beschreibst. Ist allerdings von den bestehenden Regeln abhaengig (die du uns vorenthaelst). Zum Beispiel tut man sich keinen Gefallen, wenn man ICMP komplett aussperrt.

Gruss Cae

[sirius01]

Hallo Cae,

vielen Dank für die schnelle Antwort.

Na klar ICMP hatte ich glatt vergessen. Na egal,
werde erst mal zur Arbeit. Zu Feierabend werde ich die Maschine ,
neu aufsetzen. Dann geht es ans Testen

gruß sirius01

[sirius01]

Hm............

Jetzt komme ich doch nicht mehr weiter
Die Situation:

Code: Alles auswählen

sysctl -w net/ipv4/ip_forward=1
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
  #  iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
  #  iptables -P FORWARD DROP

  #  iptables -A INPUT -m state --state INVALID -j DROP
  #  iptables -A FORWARD -m state --state INVALID -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -i lo -j ACCEPT

    iptables -A INPUT -i eth1 -p icmp -j ACCEPT   #Ping
    iptables -A INPUT  -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT  -i eth1 -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT  -i eth1 -j REJECT
    iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT  #Ping
    iptables -A OUTPUT -o eth1 -p tcp --sport 80 -j ACCEPT
    iptables -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT
    iptables -A OUTPUT -o eth1 -j REJECT

Wenn ich das ganze über einen zusätzlichen Router mit einer Fritzbox(VPN) Verbinde, geht alles.
Betreibe ich es ohne zusätzlichen Router(mit Anpassung der IPs) ist eth1 von der Gegenseite nicht mehr erreichbar.
Der VPN Tunnel steht aber.

Bin jetzt Ratlos. Wo liegt hier der Denkfehler?

gruß siriusw01

[Gunman1982]

Und der router hängt an elcher NIC? eth0 eth1?
Sind das alle iptables Regeln? Ist eth0 dein lokales Netz welchem du freien Zugang zu dem Rechner lassen willst?

Was die Rules angeht: Warum nutzt du nicht die Policys? iptables -p. Wenn du jetzt hinter deiner input reject regel eine weitere in INPUT oder OUTPUT einfügst wird diese nie erreicht und du wunderst dich. Desweieteren würde ich aus dem "iptables -A FORWARD -i lo -j ACCEPT" ein "iptables -A OUTPUT -i lo -j ACCEPT" machen. Du willst keine Pakete zum loopback forwarden, du möchtest aber das auch deine OUTPUT Pakete dort ankommen.

[sirius01]

@Gunman1982,

danke für die schnelle Antwort. Ja eth0 ist das Lokale Netzwerk. Eth0 ist auch mit dem Router (Portfreigabe 80) verbunden.
Für die Webseite. Das ganze ist auch ok und funzt. Jetzt wollte ich eth1 zusätzlich nutzen um über eine getunnelte Verbindung
das ganze gesichert von außerhalb zu warten. Die Verbindung eth1 über einen zusätzlichen Router zur Fritzbox(VPN geht ja).
Ist aber nicht akzeptabel.
Zu meinen Voraussetzungen. Ich bin Elektroniker aber kein Programmierer.
Netzwerkkenntnisse sind auch vorhanden.
Aber, die Zusammenstellung der iptables habe ich in den verschiedensten Foren zusammen geklaut .
Wie würdest Du das ganze zusammenstellen?

Vielen Dank im voraus

gruß sirius01

[Hosi]

Die Firewall-Regeln sehen gut aus.

Probier mal ein "iptables -I POSTROUTING -t nat -j MASQUERADE" und schau dann, ob der Ping auf die IP-Adresse von eth1 und auf den Webserver durchgeht?

[Gunman1982]

@Gunman1982,

danke für die schnelle Antwort. Ja eth0 ist das Lokale Netzwerk. Eth0 ist auch mit dem Router (Portfreigabe 80) verbunden.
Für die Webseite. Das ganze ist auch ok und funzt. Jetzt wollte ich eth1 zusätzlich nutzen um über eine getunnelte Verbindung
das ganze gesichert von außerhalb zu warten. Die Verbindung eth1 über einen zusätzlichen Router zur Fritzbox(VPN geht ja).
Ist aber nicht akzeptabel.

Wenn ich dich jetzt richtig verstanden hab sieht dein Netz uuuungefähr so aus, bzw dein Plan:

PC eth0 <-------------------------->| Fritzbox
eth1 <------> router <----->|

Wobei die Fritzbox portforwarding auf port 80 auf die ip des PC-eth0 macht.

Hattest du dir schonmal Gedanken gemacht ob du bei dieser Konstellation überhaupt eine Firewall brauchst? Schliesslich sitzt die Fritz ja schon zwischen dem Rechner und Internet und lässt nur die 2 Sachen durch die du brauchst (http und vpn wenn ich das richtig verstanden hab).
Wenn ich nun aber nochmal deinen 1. Post lese soll doch eth1 per port 80 erreichbar sein ... Verwirrend.

Mein Modifikations-Vorschlag für Iptables auf PC für "eth1 hängt an unsicherem Netz und soll nur http und ssh durchlassen" und "eth0 ist sicher und lässt alles rein und raus.":

Code: Alles auswählen

    iptables -F
    iptables -t nat -F
# Default wird alles kommentarlos gedropped
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

# Input UND Output auf loopback durchlassen
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -i lo -j ACCEPT

# Bestehende Verbindungen auch einfach durchwinken
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# icmp beschränkt sich nicht nur auf ping aber nun gut lassen wir mal rein/raus
    iptables -A INPUT -p icmp -j ACCEPT
    iptables -A OUTPUT -p icmp -j ACCEPT

# Sicheres Netz eth0, alles darf rein
    iptables -A INPUT -i eth0 -j ACCEPT 
    iptables -A OUTPUT -i eth0 -j ACCEPT

# Netz eth1 auf http und ssh beschränkt
    iptables -A INPUT  -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT  -i eth1 -p tcp --dport 22 -j ACCEPT
    iptables -A OUTPUT -o eth1 -p tcp --sport 80 -j ACCEPT
    iptables -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT

Was die Regeln betrifft für FORWARD, sofern die Kiste nicht selber als router/gateway herhalten soll kannst du die ignorieren.

[sirius01]

@Gunman1982

Danke für die schnelle Hilfe .
PC eth0 <--------------------------> Fritzbox ist richtig (Fritzbox1) Port 80 für die Webseite <------>Internet

Derzeitige Notlösung:
zusätzlich von eth0 <------>Router als Portfilter <-----> Fritzbox2 mit VPN <------> Tunnel zur Arbeit(zum bearbeiten)

Ich möchte von eth1(inklusive Portfilter) <-----> Fritzbox2 mit VPN <------> Tunnel zur Arbeit

Du hast Dir echt Mühe gegeben mein Respekt
Es funzt zwar noch nicht richtig. Da werde ich mich aber erst die nächsten Tage durch wuseln können.
Arbeit und Familie wollen ja auch Ihr Anteil .
Bis ich den Fehler gefunden habe, geht ja die Notlösung

Gruß sirius01

PS: Sollte ich mich, da etwas weiter Bilden oder die Konfiguration wird einfacher, wird die Fritzbox2, OpenVPN weichen.
Da fehlt mir aber noch Zeit und Wissen

[Gunman1982]

PC eth0 <--------------------------> Fritzbox ist richtig (Fritzbox1) Port 80 für die Webseite <------>Internet

Derzeitige Notlösung:
zusätzlich von eth0 <------>Router als Portfilter <-----> Fritzbox2 mit VPN <------> Tunnel zur Arbeit(zum bearbeiten)

Ich möchte von eth1(inklusive Portfilter) <-----> Fritzbox2 mit VPN <------> Tunnel zur Arbeit

Also möchtest du den PC über den Tunnel per portfiler schützen? Ist das so ein unsicheres Netz was über den Tunnel reinkommt?
Die iptables Regeln sollten für deinen Wunsch allerdings so passen.

Es funzt zwar noch nicht richtig. Da werde ich mich aber erst die nächsten Tage durch wuseln können.

Du kannst dir auch loggen lassen welche Pakete iptables blockt falls es an unrechtmässig geblockten Paketen liegt.
Einfach anhängen an dein Script:

Code: Alles auswählen

iptables -A INPUT -i eth1 -j LOG --log-prefix "eth1 in: "
iptables -A OUTPUT -o eth1 -j LOG --log-prefix "eth1 out: "

Bis ich den Fehler gefunden habe, geht ja die Notlösung

Wenn du den Fehler etwas näher erläuterst könnte man dir vielleicht helfen.

PS: Sollte ich mich, da etwas weiter Bilden oder die Konfiguration wird einfacher, wird die Fritzbox2, OpenVPN weichen.
Da fehlt mir aber noch Zeit und Wissen

Ist das ne statische Verbindung an der FritzBox2 oder DSL? Würde das wenn du redundanz brauchst eher mit deinen Fritzbox lassen und sie so konfigurieren das du dich über beide per vpn einwählen kannst. Wenn eine ausfällt hast du nen Fallback.

[sirius01]

Hallo und danke noch mal

Es geht jetzt...................... Mein Autostartskrippt war etwas verkehrt .
Na ja, etwas ruhe und noch mal alles abchecken. Häufig scheitert es ja an den Kleinigkeiten

Noch ein wenig testen ob alles 100% läuft und dann gehts es online.


gruß sirius01

[sirius01]

Hi

Ich dachte das es gelöst wäre . Aber alle Filtereinstellungen funktionieren nur
vor der Fritzbox2. Ping geht, Port80 und Port22 gehen so wie es sein sollte. Alles super.
Nur auf der anderen Seite des Tunnels, ist meine eth1 nicht mehr erreichbar. Ich sehe aber darüber den anderen Rechner.
Schließe ich einen Router oder andere Netzwerkgeräte(mit der richtigen IP), an die Fritzbox2 an,
so sind diese am anderen Ende des Tunnels voll erreichbar. Nun bin ich doch ratlos.
Vielleicht hat ja jemand einen Tipp für mich.

Wenn ich eine elektronische Schaltung erstelle oder repariere, so sagt mir die meine
Logik (mit Messgerät und Schaltplan) an welchen
Kontakt, welche Spannung oder welches Signal anliegen sollte. Wenn nicht, so lässt sich der Fehler, an
Hand dessen schnell ausfindig machen. Hier versagt aber meine Logik

gruß sirius01