Iptables Input sperren nicht möglich
Verfasst: 10.04.2016 20:47:26
Hallo zusammen,
habe jahrelang verschiedene Rootserver mit Ubuntu betrieben. Jetzt habe ich es mal mit Debian 8.3 versucht. Habe festgestellt das die Gameserver merklich weniger CPU Last erzeugen, darum wollte ich jetzt auch bei Debian bleiben.
Aber im Gegensatz zu Ubuntu funktionert jetzt keine IP Table Inputsperre mehr. Mit "$IPTABLES -P INPUT DROP" sollte eigentlich doch alles an eingehenden Verkehr ignoriert werden was nicht durch weitere Regeln in meinem Skript geöffnet wird. Also mein Gameserver mit UDP Port 28960 ist ansprechbar, auch wenn ich den Port nicht freigebe. Weiß nicht was ich falsch mache, ich starte mein Script ,dann stehen die Regeln in der /etc/iptables.up.rules .
Hier mein config script
habe jahrelang verschiedene Rootserver mit Ubuntu betrieben. Jetzt habe ich es mal mit Debian 8.3 versucht. Habe festgestellt das die Gameserver merklich weniger CPU Last erzeugen, darum wollte ich jetzt auch bei Debian bleiben.
Aber im Gegensatz zu Ubuntu funktionert jetzt keine IP Table Inputsperre mehr. Mit "$IPTABLES -P INPUT DROP" sollte eigentlich doch alles an eingehenden Verkehr ignoriert werden was nicht durch weitere Regeln in meinem Skript geöffnet wird. Also mein Gameserver mit UDP Port 28960 ist ansprechbar, auch wenn ich den Port nicht freigebe. Weiß nicht was ich falsch mache, ich starte mein Script ,dann stehen die Regeln in der /etc/iptables.up.rules .
Hier mein config script
Code: Alles auswählen
#!/bin/bash
echo "Starting firewall"
LOGLIMIT=20
IPTABLES=/sbin/iptables
case "$1" in
start)
# alle alten Regeln entfernen
echo "Loesche alte Regeln"
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
### ERSTELLE NEUE KETTEN ###
# Chain to log and reject a port by ICMP port unreachable
$IPTABLES -N LOGREJECT
$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
### MAIN PART ###
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# im Loopback koennen wir jedem trauen - verhindert IP Adressensperre !!
#$IPTABLES -A INPUT -i lo -j ACCEPT
# erlaube SSH
$IPTABLES -A INPUT -p tcp --dport 2088 --tcp-flags ALL SYN -j ACCEPT
# erlaube Webmin
$IPTABLES -A INPUT -p tcp --dport 11000 -j ACCEPT
#####################################################################
#
# Alle TCP Packete, die bis hier hin kommen, werden
# geloggt und rejected
# Der Rest wird eh per Default Policy gedroppt...
$IPTABLES -A INPUT -p tcp -j LOGREJECT
$IPTABLES -A FORWARD -p tcp -j LOGREJECT
# udp Eingagng
$IPTABLES -A INPUT -p udp -j LOGREJECT
echo "habe fertig"
;;
*)
echo "Usage: `basename $0` {start}" >&2
exit 64
;;
esac
exit 0