iptables -F macht Probleme

Bash, Shell, PHP, Python, Perl, CGI
lars007
Posts: 41
Joined: 2005-02-24 14:05

iptables -F macht Probleme

Post by lars007 » 2005-08-17 21:31

Ich hab mir die folgendes Script gebastelt:

stop.sh

Code: Select all

##################################################
#           Firewall für xx.xxx.xxx.xx           #
##################################################
#                   Stopscript                   #
##################################################

echo "Firewall wird gestoppt."

# alle Regeln löschen
iptables -F
echo "Regeltabellen geleert"

echo "Firewall erfolgreich gestoppt."
Ausführung stop.sh:

Code: Select all

g044:~/firewall # ./stop.sh
Firewall wird gestoppt.
Dann ist keine SSH-Verbindung mehr möglich und ich muss den Server neu starten.

Any ideas?
Last edited by lars007 on 2005-08-18 10:22, edited 1 time in total.

superuser1
Posts: 291
Joined: 2003-11-26 18:43
Location: earth

Re: iptables -F macht Probleme

Post by superuser1 » 2005-08-17 22:15

Hi...

Code: Select all

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
:roll:
Last edited by superuser1 on 2005-08-17 22:20, edited 1 time in total.

tcs
Posts: 107
Joined: 2003-11-16 12:05
Location: Woodcastle

Re: iptables -F macht Probleme

Post by tcs » 2005-08-17 22:17

Ja, auch wenn das nicht das ist was Du Dir wahrscheinlich erhoffst:

Code: Select all

rm ./start.sh
rm ./stop.sh
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
Eine Firewall auf einem Linuxhost ist völlig sinnfrei, wurde schon des öfteren teils auch hitzig in diesem Forum erörtert :wink:

Cheers

tcs

lars007
Posts: 41
Joined: 2005-02-24 14:05

Re: iptables -F macht Probleme

Post by lars007 » 2005-08-17 22:27

a) Ok. :) Ich schlag mich dann mal durch die entsprechenden Threads.
b) Meine Frage bleibt bestehen - denn: Die vorgesehene Funktion kann das doch trotzdem nicht sein, oder? :?

tcs
Posts: 107
Joined: 2003-11-16 12:05
Location: Woodcastle

Re: iptables -F macht Probleme

Post by tcs » 2005-08-17 22:42

Du hast im stopscript eigentlich bloß vergessen die Default-Policy der INPUT Chain wieder auf ACCEPT zu setzen - dadurch wird natürlich alles eingehende dann auch nach iptables -F auf den Müll gekübelt...

Ansonsten sind iptables z.B. für Logging und Routing recht gut geeignet, als Firewall auf einem Applicationserver hingegen nicht da alles was dort ankommt bereits vorher gefiltert sein sollte.
Eine Firewall schützt per Definition Netzwerk A vor Netzwerk B.
Ausnahmen sind die sog. Desktopfirewalls die Windowsuser vor sich selbst schützen (Homecalls von Raubkopieen unterbinden etc.).

Cheers

tcs

lars007
Posts: 41
Joined: 2005-02-24 14:05

Re: iptables -F macht Probleme

Post by lars007 » 2005-08-17 23:02

Vielen Dank für deine Antwort, tcs.
Grundsätzlich habe ich auch vor, die Firewall zum Loggen einzusetzen und - um Benutzer auf dem System daran zu hindern, Ports aufzumachen. Das sollte doch damit möglich sein, oder?

tcs
Posts: 107
Joined: 2003-11-16 12:05
Location: Woodcastle

Re: iptables -F macht Probleme

Post by tcs » 2005-08-18 09:27

Hi,

natürlich ist das möglich - nur wäre dann zu überlegen was man den Usern überhaupt erlauben will. Wenn ich schon den Verdacht habe daß jemand irgendeinen Port aufmachen wird wenn ich ihn auf meinen Server lasse bekommt er einen chrooted FTP Account und gut ist. Shellaccounts gibt's nicht, php/scripting bei Websites bekommt er so gerade genug daß sein Webkram mit ach und krach laufen kann.
Außerdem ist zu bedenken daß Script für iptables ein weiterer Punkt auf dem Server ist der Wartung und Aufmerksamkeit benötigt, daß er eine potenzielle Fehlerquelle ist hast Du ja auf die gemeine Tour gesehen :wink:
Grundsätzlich ist bei Linux eigentlich immer genügend Werkzeug dabei daß man auf Applikationsebene (oder Filesystemebene) sehr präzise eingrenzen kann was ein User darf und was nicht, hier würde ich ansetzen und ihm nicht Narrenfreiheit bis zu den iptables lassen - überspitzt ausgedrückt.

Cheers

tcs

lars007
Posts: 41
Joined: 2005-02-24 14:05

Re: iptables -F macht Probleme

Post by lars007 » 2005-08-18 10:18

Einfach ausgedrückt: Ja. :-D
An deiner Argumentation ist durchaus was dran 8O