iptables Paketfilter

[sllnd]

Hallo zusammen,

ich habe mir ein Shell Skript für die Erstellung eines Paketfilters aus irgendeinem Internet Linux Zeitung genommen und etwas abgeändert., Jedoch klappt nach der Aktivierung apt-get update nicht mehr.

Hier das Skript:

#!/bin/bash

iptunset(){

# erst mal ordentlich aufräumen ...
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

}

########################################################################

iptset(){

# alles sperren
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Loopback wieder aktivieren
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# eth0 für ICMP freischalten
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

# Alles über 1024 nach aussen zulassen
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -j ACCEPT



#### --> Webdienste nach extern

# SSH
iptables -A INPUT -p tcp -s 217.22.0.66 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

# Webmin
iptables -A INPUT -p tcp -s 217.22.0.66 --dport 10000 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10000 -j ACCEPT

# HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

# FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

# SMTP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
# POP3
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT


#### -> Server will auch nach draussen ;)


# HTTP
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT

# FTP
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT

# BigBrother
iptables -A OUTPUT -p tcp --dport 1984 -j ACCEPT

}

########################################################################

case "$1" in
s) iptset;;
u) iptunset;;
*) echo "Usage: iptbl s|u (set|unset)"
esac

apt-get update gibt dann folgendes raus:

Err http://security.debian.org stable/updates/main Packages
Temporary failure resolving 'security.debian.org'
....
Failed to fetch http://amd64.debian.net/debian/dists/sa ... ackages.gz Temporary failure resolving 'amd64.debian.net'

SSH, POP3, HTTP, FTP von extern klappen alles einwandfei.

# w3m http://www.google.de
w3m: Can't load http://www.google.de.

Ich glaub irgendwas übersehe ich gewaltig, obwohl ich doch Port 80 nach ausshin von also vom Server zu einem anderem Webserver freigegeben habe.

Sieht einer den Fehler in dem Skript?[/quote]

[Roger Wilco]

Tu dir selbst einen Gefallen und lass das mit dem Paketfilter. Du machst damit mehr kaputt, als es dir bringt.

Ich sehe in deinen Regeln z. B. nirgendwo eine Freigabe für DNS.

[franki]

Versuchs mal mit der Shorewall-Firewall. Geht IMHO wesentlich einfacher als direkt mit iptables. Von der Konfig. für 1 LAN-Anschluss ausgehen und nur die /etc/shorewall/rules anpassen.

[tommbutu]

lieg ich da total daneben wenn ich sage, das die rootie hoster meist sowieso schon voher den "mist" rausfiltern und ein netfilter deswegen nicht wirklich viel sinn macht?

[rootsvr]

lieg ich da total daneben

Ja.. kaum ein Hoster betreibt externe Firewalls vor Kundenrechnern. Aber ich glaube man kann irgendwo welche dazubestellen..

[tommbutu]

aber werden denn interne ips die "scheinbar" von aussen kommen nicht vom anbieter verworfen?? wäre jedenfalls wünschenswert

und ausser spoofing abwehren mit den iptables, kann man doch nicht viel besonderes machen oder?? vielleicht liegt ich da aber auch wieder daneben :lol:

[rootsvr]

Man kann mit iptables so ziemlich alles machen was man mit einer firewall auch machen kann.. z.B. nur bestimmte Kommunikation erlauben. Ob das bei einem Rootserver Sinn macht ist eine andere Sache.

Aber neben spoofing rate-limiting machen, zugriff auf Dienste von Extern verwehren usw.. aber Firewalls machen eher Sinn wenn man Netzwerke absichern will, nicht wenn man nur einen Rechner hat. (sufu)

[captaincrunch]

und ausser spoofing abwehren mit den iptables, kann man doch nicht viel besonderes machen oder??

Anti-Spoofing kannst du auch direkt kernelseitig ohne iptables betreiben. Das Stichwort hier ist rp_filter.

[lucki2]

Ja, die 53 macht wahrscheinlich Ärger.
Nebenbei braucht ein Client sich nur an port 80,21 oder 20 binden um Deine FW zu komplett zu umgehen. Auch sonst recht eigenwillig gelöst.

Heißt: Nimm das Heft und hau es dem Verfasser um die Ohren, wenn der behauptet damit was absichern zu können und das nicht als Fingerübung gedacht hatte.

[sllnd]

Im Prinzip geht es mir ja nur um folgendes:

Ich möchte gerne den MySQL Port öffnen, aber nicht einfach so, dass der DB Server fürs ganze Internet zur Verfügung steht. Somit möchte ich den 3306 Port an eine feste IP binden, mit der ich dann Zugriff auf diesen habe.

Genauso gilt dies für SSH (ich weiss eine gute Konfig reicht schon, ist soweit auch abgeschottet, aber ich möchte halt den SSH Port für externe Verbindungen sperren.

[tommbutu]

Anti-Spoofing kannst du auch direkt kernelseitig ohne iptables betreiben. Das Stichwort hier ist rp_filter.

wird schon über das networking startscript auf 1 gesetzt...dürfte dann reichen oder?

[lucki2]

War nicht böse gemeint - nur Wahrheit: Wenn diese Firewall etwas bringen soll, muß sie neu geschrieben werden. Gründe habe ich oben genannt. Deine Firewall hindert mich nicht an Deinen Mysql oder (weniger interessant) SSH dranzukommen. Wenn die entsprechenden Regeln herausgenommen werden funktioniert jedoch einiges nicht mehr. D.h.: komplett anders vorgehen.

Dokumentation iptables findest Du auf:
http://netfilter.org
das Tutorium finde ich recht brauchbar:
http://iptables-tutorial.frozentux.net/ ... orial.html

bzgl MySQL hilft Dir auch my.ini (sowieso angeraten)

[sllnd]

Danke für die vielen Anregungen, werde mir die Links mal genauer betrachten.