Frage zu meinen iptables

[bullidance]

Hallo,
habe iptables Regeln unten definiert Wenn ich nun mit iptables -L die Ausgabe anzeigen lass, dann erhalte ich folgendes:

Was mich verwirrt ist, das es im INPUT chain zwei Zeilen gibt mit ACCEPT. Was genau bedeutet das nun. Ich will ja eigentlich nur die zweite Zeile haben, sprich nur das darf rein, was vorher raus ging.
Ist das nun kein Widerspruch?
Was hab ich nun falsch gemacht?
Oder handelt es sich bei der ersten Zeile im INPUT chain um das lo Interface, woher soll man das wissen?

Vielen Dank für Eure Hilfe

Code: Alles auswählen

root@host:/home/user# iptables -t filter --list
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere   

So wurden die Regeln erstellt:

Code: Alles auswählen

#!/bin/sh
set -e

IPT=/sbin/iptables

[ "$IFACE" != "lo" ] || exit 0

$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -F
$IPT -X

# forwarding deaktivieren
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies setzen
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# loopback freischalten
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT


# Antworten auf bestehende Verbindungen erlauben
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[DeletedUserReAsG]

Was mich verwirrt ist, das es im INPUT chain zwei Zeilen gibt mit ACCEPT […]

Code: Alles auswählen

[…]
$IPT -A INPUT -i lo -j ACCEPT
[…]
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[Cae]

Mit einem -v mehr siehst du auch das Device selbst. Und weil man dann immer noch nicht Spezial-Tabellen wie nat oder mangle sieht, empfehle ich stattdessen die Verwendung von iptables-save. Das ist zwar nicht tabellarisch, aber imho uebersichtlicher als die sonstigen Darstellungen. Als Bonuspunkt kann man dieses Exportformat auch per iptables-restore wieder laden lassen (und daher vielleicht auch direkt als Firewallscript verwenden).

Gruss Cae

[bullidance]

ja richtig, mit der verbose Option sehe ich das es das "lo" Interface ist, und damit ist die
Verwirrung schon beseitigt.

Jetzt bleibt halt noch die Frage, was Ihr denn von dieser Firewall haltet. Ist das ausreichend, um alle Verbindungen von außen
vollständig zu blockieren. Habe dazu noch folgende Fragen.

Wenn ich per netstat mir die lauschenden Prozesse anschaue, dann sind da ja ein paar dabei, die theoretisch Verbindgen von
außen zu lassen, wie diese hier:

Code: Alles auswählen

udp        0      0 0.0.0.0:111             0.0.0.0:*                           0          5836        2569/rpcbind    
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          6268        3152/cupsd  

1. Heisst das nun, dass mit meiner Firewall, nun KEINE Verbindung mehr zu cupsd, und rpcbind von Außen möglich ist

2. Die FW gilt ja jetzt nur für IPv4. Was muss ich machen, das alle Regeln auch gleich für IPv6 gültig sind.

3. Bzw. kann man IPv6 komplett und sicher deaktivieren, per Startskript. Ich hatte es mal mit

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

gemacht. Die Frage ist da ob dies ausreicht, und ob ein iptables sinnvoller ist als das?


Vielen Dank schonmal

[dufty2]

Bzgl. IPv6: Im Grub in der Kernelzeile ein
ipv6.disable=1
hinzufügen.

[DeletedUserReAsG]

Jetzt bleibt halt noch die Frage, was Ihr denn von dieser Firewall haltet.

Nix. Ich halte generell nix von Firewalls, die auf der gleichen Maschine laufen, die sie eigentlich vom Netz abtrennen sollte. Sicherer ist, nur die Dienste an eth0 (oder was auch immer das externe Interface ist) zu binden, die man auch von außen erreichbar haben will – und sie sauber zu konfigurieren. Ist aber nur meine persönliche Meinung.

[Dimejo]

Jetzt bleibt halt noch die Frage, was Ihr denn von dieser Firewall haltet. Ist das ausreichend, um alle Verbindungen von außen
vollständig zu blockieren. Habe dazu noch folgende Fragen.

Ja, das reicht.

Wenn ich per netstat mir die lauschenden Prozesse anschaue, dann sind da ja ein paar dabei, die theoretisch Verbindgen von
außen zu lassen, wie diese hier:

Code: Alles auswählen

udp        0      0 0.0.0.0:111             0.0.0.0:*                           0          5836        2569/rpcbind    
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          6268        3152/cupsd  

1. Heisst das nun, dass mit meiner Firewall, nun KEINE Verbindung mehr zu cupsd, und rpcbind von Außen möglich ist

Die Dienste lauschen zwar, die Firewall lässt aber keine Verbindungen zu.

2. Die FW gilt ja jetzt nur für IPv4. Was muss ich machen, das alle Regeln auch gleich für IPv6 gültig sind.

Benutze ip6tables anstatt iptables.

3. Bzw. kann man IPv6 komplett und sicher deaktivieren, per Startskript. Ich hatte es mal mit

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6

gemacht. Die Frage ist da ob dies ausreicht, und ob ein iptables sinnvoller ist als das?

https://wiki.debian.org/DebianIPv6#How_to_turn_off_IPv6

[casadebo]

Dazu hätte ich auch mal ne Frage. Wenn er IPv6 deaktiviert, mittels sysctl, dann
macht doch eine iptablesv6 keinen Sinn mehr, oder?

[bullidance]

vielen Dank für die Infos.

Ja ich denke schon das wenn man IPv6 deaktiviert hat, das man dann kein iptablesv6 braucht,
sonst wäre es ja komisch.

Was mir aber aufgefallen ist. Trotz deaktivertem IPv6 mittel dem Eintrag
in der sysctl.conf, sehe ich immer noch Prozesse mittels netstat -tuepnl,
wo tcp6 und udp6 drin sind.
Kann das sein?

[Cae]

Was mir aber aufgefallen ist. Trotz deaktivertem IPv6 mittel dem Eintrag
in der sysctl.conf, sehe ich immer noch Prozesse mittels netstat -tuepnl,
wo tcp6 und udp6 drin sind.
Kann das sein?

Ja. Die Anwendung bindet einen Socket, der entweder IPv4 oder IPv6 (oder beides (?)) kann. Ob der Kernel die erzeugten IPv6-Sockets auch tatsaechlich anspricht und Datenverkehr zu anderen Sockets/Hosts zulaesst, hat damit direkt nichts zu tun.

In einem aehnlichen Kontext wuerde ich auch die ip6tables-Frage im Post darueber sehen; natuerlich kann man entsprechende Regeln setzen, sie werden bei aktiviertem .disable_ipv6=1 aber nie verwendet werden und sind daher weder stoerend noch nuetzlich.

Gruss Cae