simple iptables Firewall funktioniert nicht auf vserver

[knifegunaxe]

Hi Ihr,

ich bin ziemlich neu in der Sache und habe mir mal eine einfache Firewall zusammengebaut, damit der Server erstmal zu ist.
Zur Information: es ist ein VServer bei keyweb...
Wenn ich aber das Script so starte, fliege ich nach einer Weile vom Server ab und komme nicht mehr drauf (per SSH). Auch wenn ich manuell trenne komme ich nicht mehr drauf.
Nun habe ich auch schon versucht den SSH-teil ohne "NEW,ESTABLISHED,RELATED" zu machen, aber es bringt nichts.
Leider habe ich nur ein virtuelles Interface (venet0:0) und das macht probleme. deswegen habe ich die ip hergenommen.

Habt ihr einen Tip für mich?
Wäre seh dankbar :)

Hier mein Script:

#!/bin/bash
# Local Firewall
# Angepasst für 8x.1xx.1xx.xx

case "$1" in
start)
echo "Starte IP-Paketfilter"

# Flushen
iptables -F
iptables --delete-chain
iptables -t mangle -F
iptables -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Loopback zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# von Innen alles zulassen
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Vorhandene Verbindungen von Außen zulassen
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ICMP Echo-Request (ping) zulassen und beantworten
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT

# SSH zulassen
iptables -A INPUT -s 8x.1xx.1xx.xx -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j ACCEPT
;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
#iptables -t nat -F
iptables -t mangle -F
iptables -X
#iptables -t nat -X
iptables -t mangle -X
# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac

[flo]

ich bin ziemlich neu in der Sache und habe mir mal eine einfache Firewall zusammengebaut, damit der Server erstmal zu ist.

*kopfschüttel* Wie wäre es mit Ausmisten, Dienste deaktivieren und/oder Absichern, Updaten? Warum muß es ein Paketfilter sein?

Zur Information: es ist ein VServer bei keyweb...

Ich gehe nicht davon aus, daß Du bei einem vserver Zugriff auf Kernel-Funktionen hast - mein einer vServer verbietet mir sogar, die Uhr zu stellen. Die Frage ist, warum das Script/die Instanz/der Server so wegnippeln, daß gar nichts mehr geht.

Hast Du einen der Befehle mal außerhalb des Scriptes ausprobiert?

flo.

[flo]

Code: Select all

# SSH zulassen 
iptables -A INPUT -s 8x.1xx.1xx.xx -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j ACCEPT

So, wie ich das verstehe, läßt Du damit ssh von Deinem Server aus auf Deinem Server zu - iptables lerne ich aber auch immer wieder neu, wenn ich es alle Jahre mal brauche.

flo.

[knifegunaxe]

*kopfschüttel* Wie wäre es mit Ausmisten, Dienste deaktivieren und/oder Absichern, Updaten? Warum muß es ein Paketfilter sein?

Das hab ich schon mit einem Kumpel gemacht, der jetzt aber in der BA ist, und kaum noch Zeit hat (verständlicherweise :) )

Die Firewall soll einfach noch zusätzlich sichern, und auch eben den Lerneffekt erzielen :)

Hast Du einen der Befehle mal außerhalb des Scriptes ausprobiert?

nein, das werde ich mal ausprobieren. Aber welchen Befehl hälst du denn für ausschlaggebend?

So, wie ich das verstehe, läßt Du damit ssh von Deinem Server aus auf Deinem Server zu - iptables lerne ich aber auch immer wieder neu, wenn ich es alle Jahre mal brauche.

OMG! Ich glaube du hast recht. -s = source. Wie kann ich das denn machen, wenn ich venet0:0 nicht benutzen kann/darf? einfach weglassen?

EDIT: Hier der Fehler: "Warning: weird character in interface `venet0:0' (No aliases, :, ! or *)."

Danke euch!!
Gruß,
Daniel

[elch_mg]

Die Firewall soll einfach noch zusätzlich sichern, und auch eben den Lerneffekt erzielen :)

*kopfauftastaturhau*

a) wer behauptet, dass das Zeug "zusätzlich sichert"?
b) auf Servern im Netz wird nicht gelernt, höchstens unfreiwillig.

[knifegunaxe]

Wenn ich mein ssh so konfiguriert habe, dass es sicher ist, und sonst keine dienste laufen habe, was läge dann näher als noch pakete zu filtern? Wenn du nur destruktive Beiträge leisten möchtest, antworte bitte nicht.
Ich sagte ja auch, dass ich ziemlich neu bin in der ganzen Sache, und lasse mich gern belehren. Das bedeutet auch, dass egal wo ich einen Server habe, ich immer lerne. Denn sonst könnte ich ja meinen Karren garnicht bedienen.
Also, vielleicht weißt du wie ich das venet0:0 Interface ansprechen kann, ohne diesen Fehler zu bekommen, oder einen anderen Weg?

Dankeschön!

EDIT: Ich habe nun einfach -s mit -d ersetzt, was dann bedeutet, dass es die destination ist. nun scheint es zu funktionieren. allerdings würde ich trotzdem gerne das interface angeben, um eventuelle ip-adressen änderungen mit einzuschließen. weiß das jemand, wie ich das anstellen kann?

Flo: Vielen Dank für den Wink!

[flo]

1) Ports, auf denen nicht gelauscht wird, brauchst Du per Paketfilter nicht zu filtern.
2) Ports auf denen gelauscht wird, kannst Du auf der Ebene (Zugriffssteuerung ausgenommen) nicht absichern.
3) Traffic wird nicht verhindert, da alle Pakete auf Deinem Rechner ankommen.
4) Wozu drop?
flo.

[knifegunaxe]

okay, punkt 1 hab ich verstanden.

punkt 2 versteh ich allerdings nicht. Für was gibt es iptables dann überhaupt? Bitte entschuldige, wenn die Frage etwas blöd kommt, aber ich dachte genau dafür ist es da? Natürlich habe ich auch vor dann einen Webserver etc. einzurichten, und die entsprechenden Regeln zu erstellen.

3) Ist das mit iptables möglich? sinnvoll wäre es ja allemal.

4) keine ahnung? :? im howto stand, man sollte erst alles droppen und dann die benötigten sachen freigeben. belehre mich bitte

[oxygen]

punkt 2 versteh ich allerdings nicht. Für was gibt es iptables dann überhaupt? Bitte entschuldige, wenn die Frage etwas blöd kommt, aber ich dachte genau dafür ist es da? Natürlich habe ich auch vor dann einen Webserver etc. einzurichten, und die entsprechenden Regeln zu erstellen.

Paketfilter machen generell nur auf Routern Sinn. Gleiches gilt für iptables.

[r. u. serious]

Traffic wird nicht verhindert, da alle Pakete auf Deinem Rechner ankommen.

3) Ist das mit iptables möglich? sinnvoll wäre es ja allemal.

Ja, aber nur auf dem vorherigen Hop (sprich bspw. dem Router der vor deiner Kiste steht). Man kann - was eigentlich die Logik diktiert - mit den Regeln auf Rechner A aus nicht verhindern, dass Rechner B Pakete auf die Leitung zu A schickt. Die Regeln auf A greifen erst nachdem die Pakete angekommen sind...

[flo]

mit den Regeln auf Rechner A aus nicht verhindern, dass Rechner B Pakete auf die Leitung zu A schickt. Die Regeln auf A greifen erst nachdem die Pakete angekommen sind...

ähnlich wie im Straßenverkehr - wenn man unterwegs einen Unfall hat, kriegt man das Benzin auch nicht erstattet :-)

Im Ernst: Abgerechnet wird es nicht das, was bei Rechner A ankommt, sondern der Traffic, der B passiert.

Wenn man etwas filtern möchte, macht es Sinn, dies nicht auf der Kiste (und/oder nicht über den Dienst) zu machen, die man damit absichern möchte.

flo.

[knifegunaxe]

puh, und was mach ich nun?

Als erstes wollte ich mir ein LAMP System aufsetzen. Also ihr meint wirklich, dass nichts nötig ist, als die beteffenden Dienste zu installieren und die jeweiligen "securing xxx" howtos durchzuarbeiten?

Aber was stell ich dann mit iptables an? Für mich hört sich das gerade so an, als ob iptables völlig unnötig wären. Ich hab mir gestern das Buch "iptables kurz und gut" von o'reilly oder so bestellt, war das nun umsonst? :lol:

[rootsvr]

Es gibt schon Sachen, wo eine Firewall hilft:
über webschnittstelle macht ein Programm nen unpriviledged Port (z.B. 65510) auf und lauscht da.. Firewall blockt natürlich von außen. Gegen ne Revese Shell taugt das nichts, aber es kann (theoretisch) helfen.

Router brauchen iptables (also wenn Du mal nen Linuxbasiertes DSL Gateway daheim haben willst)

Wenn man bestimmten Verkehr loggen will oder Sowas wie Portknocking o.ä. nutzt braucht man auch ne Firewall.

[elch_mg]

Wofür ich iptables einsetze: Um einen mistig programmierten TS-Server etwas einzusperren.

Aber prinzipiell beendet man alle unnötigen Dienste, bzw. lässt nur die laufen, die man auch wirklich benötigt. Für den Anfang sind die Howtos ganz okay IMHO, aber du solltest dir schon Gedanken machen warum du dies oder jenes tust und was es bewirkt, was da im Howto steht.

[knifegunaxe]

Ja, dann ist ja mein script okay, nur zur Sicherheit, richtig?

Dass Router Firewalls brauchen, hab ich nun schon verstanden.

BTW: das sind meine offenen ports, obwohl ich keinen apache drauf hab.
evtl. von virtuozzo...

Code: Select all

kmXXXXX-XX:~/temp_iptables# netstat -pl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:www                   *:*                     LISTEN     9826/apache2
tcp        0      0 *:ssmtp                 *:*                     LISTEN     9716/xinetd
tcp        0      0 8x.1xx.1xx.xx:domain    *:*                     LISTEN     9676/named
tcp        0      0 8x.1xx.2xx.xx:domain    *:*                     LISTEN     9676/named
tcp        0      0 kmXXXXX-XX.keyma:domain *:*                     LISTEN     9676/named
tcp        0      0 8x.1xx.2xx.xx:ssh       *:*                     LISTEN     9706/sshd
tcp        0      0 *:smtp                  *:*                     LISTEN     9716/xinetd
tcp        0      0 kmXXXXX-XX.keymachi:953 *:*                     LISTEN     9676/named
tcp        0      0 *:pop3s                 *:*                     LISTEN     9716/xinetd
tcp        0      0 *:submission            *:*                     LISTEN     9716/xinetd
tcp        0      0 *:pop3                  *:*                     LISTEN     9716/xinetd
udp        0      0 8x.1xx.1xx.xx:domain    *:*                                9676/named
udp        0      0 8x.1xx.2xx.xx:domain    *:*                                9676/named
udp        0      0 kmXXXXX-XX.keyma:domain *:*                                9676/named
udp        0      0 *:54841                 *:*                                9676/named

aber somit wäre die firewal gut, denn es wird an diversen ports gelauscht...

[rootsvr]

aber somit wäre die firewal gut, denn es wird an diversen ports gelauscht...

Die Argumentation versteh ich nicht. Wenn Du deinen Nameserver nicht brauchst kannst Du named abstellen, dann lauschen deutlich weniger, der Rest ist einwandfrei.. und wenn Du jetzt die Firewall blind aktivierst ohne Ahnung zu haben was Du warum blockst und was nicht sehe ich keine goldene Zukunft für Dich.

[knifegunaxe]

Es sieht so aus: Ich habe mir den Server gekauft, weil ich dordhin meine Webseite umziehen möchte. Nun sollte das möglichst schnell von statten gehn. Ich dachte ich kann eine grundlegende Sicherheit schaffen, eben mit iptables und den Howtos, und wenn alles läuft tiefer in die Materie einsteigen. Von da ab alles von Grund auf absichern und optimieren. Lektüre gibt es ja zur Genüge^^

Nun bin ich natürlich sehr unsicher, und weiß auch nicht ob ich auf den Nameserver angewiesen bin. Theoretisch brauche ich den nicht, denn ich muss ja keine Adressen auflösen. Ob es noch andere versteckte Dinge gibt, für was ich den brauche weiß ich nicht, und deswegen hatte ich dort erstmal nichts gemacht.

Was würdest du in meiner Situation nun machen, wie würdest du vorgehen? Fakt ist, dass ich den Server möglichst schnell bereit für die Seite haben muss.

Gruß,
Daniel

[rootsvr]

Den Server abbestellen und ein genügend großes Webhosting Paket nehmen.

Sie der Sache ins Auge: Du hast von der Materie nur begrenzt Ahnung und "Möglichst schnell von statten" und erst danach in die Materie eintauchen ist Humbug.

Ein typischer Fall von "ich hab nen root und keinen Plan" - hier machst Du dir wenig Freunde, ein Anfänger Forum ist das hier nicht.

Ob Du den DNS Server nutzt oder einen von deinem Provider weiß ich nicht.

Generell gilt immer: nur laufen lassen was Du brauchst, nur installieren was Du verstehst, und niemals hoffen das alles gut geht.

Ich weiß ich bin jetzt schrecklich gemein und Du willst doch nur deinen Server nutzen und *heul*.. ich hab auch Server sitze da teilweise lange dran, verkaufe professionellen Support um dann hin und wieder von laienhaft gesicherten Servern angegriffen, oder bombadiert zu werden.

Serverführerschein für alle!

Warum genau brauchst Du für ne Webseite nen Server, wo doch Webspace dafür reichen würde?

[knifegunaxe]

hm, ich nehm das jetzt einfach so hin. ich denke du hast bedingt recht. vergib mir wenn ich behaupte, dass ich von einem laufendem system das ich regelmäßig benutze am meißten lerne. eventuell sind andere eher theoretisch orientiert, ich jedoch bin sehr praktisch orientiert. learning by doing und so ;)

Klar könnte ich das vielleicht einen Computer bei mir daheim dazu benutzen, aber ich möchte es so.

Ein Webhosting Paket habe ich bisher gehabt, und werde das nun eben doch noch länger behalten. Ein größeres möchte ich nicht, da kommt eben nur noch der Server für mich in Frage.

Aber deine Aggression gegen Neulinge verstehe ich nicht. Ich werde nicht heulen, und dich auch nicht als gemein bezeichnen. Ich weiß dass ich lernen muss, und das mach ich immer auf diese Art. Ich versuche mich ja einzubringen, und weiß dass es viele gibt die einfach wollen dass alles geht, und nichts dafür tun möchten.
Wenn du mich für so jemanden hälst, versichere ich dir dass du falsch liegst. Ich habe meine Situation ja bereits geschildert.

Generell gilt immer: nur laufen lassen was Du brauchst, nur installieren was Du verstehst, und niemals hoffen das alles gut geht.

Richtig, das habe ich verstanden.

Serverführerschein für alle!

Äh, ja.

Also, dann danke ich euch für eure Hilfe :)

EDIT: Nameserver ist vom Provider, also mach ich named aus :)

[rootsvr]

Lerning by Doing ist gut, aber nicht an einem dick angebundenen Server im Internet. Sei fein - Machs daheim!

[mattiass]

Lerning by Doing ist gut, aber nicht an einem dick angebundenen Server im Internet. Sei fein - Machs daheim!

Vserver sind doch meist so oft down oder lahm, dass sie kaum Schaden anrichten können. :o

[elch_mg]

hm, ich nehm das jetzt einfach so hin. ich denke du hast bedingt recht. vergib mir wenn ich behaupte, dass ich von einem laufendem system das ich regelmäßig benutze am meißten lerne. eventuell sind andere eher theoretisch orientiert, ich jedoch bin sehr praktisch orientiert. learning by doing und so

Klar könnte ich das vielleicht einen Computer bei mir daheim dazu benutzen, aber ich möchte es so.

Aber deine Aggression gegen Neulinge verstehe ich nicht. Ich werde nicht heulen, und dich auch nicht als gemein bezeichnen. Ich weiß dass ich lernen muss, und das mach ich immer auf diese Art. Ich versuche mich ja einzubringen, und weiß dass es viele gibt die einfach wollen dass alles geht, und nichts dafür tun möchten.

... um dann hin und wieder von laienhaft gesicherten Servern angegriffen, oder bombadiert zu werden.

Hm...?

Übrigens, er ist nicht der einzigste der so denkt.
Oder nochmal auf Deutsch: Ja, Lernen ist gut. Ja, Lernen auf Systemen, die "direkt reagieren", weil sie mit 100mbit am Netz hängen, macht mehr Spaß. Aber: Beim Lernen geht auch mal das ein oder andere schief, wird vergessen, oder falsch gemacht. Und der Unterschied zu der Kiste @ home ist schlicht und ergreifend das Ausmaß der Wirkungen auf andere. Das Problem ist, dass du dadurch - ungewollt, vielleicht, aber das interessiert dann niemanden - vielleicht andere schädigst. Das kann auch für dich selber teuer werden, es ist also eigentlich in deinem eigenen Interesse zuhause zu Lernen.

[knifegunaxe]

8O wie meinen? Ohweh. Okay das is natürlich madig. Gut momentan sollte ja keiner ohne größere Anstrengung drauf kommen?!
Und testen werde ich dann daheim. Aber nebenher möchte ich doch auch auf dem Server arbeiten. (Wenn ich etwas erfolgreich umgesetzt habe) Ist das okay?

[Anonymous]

Hi an alle,

ich habe die Diskussion gerade eben erst durch Zufall entdeckt.

Ich mein das knifegunaxe ein wenig vorsichtig sein sollte ist klar da stimme ich auch aller kritik die hier fiel (gerade was den schaden anderer usw. angeht) zu. Unsichere Server sind optimale Ziele für Scriptkiddies die den "richtigen" Schaden anrichten. Sie nutzen Server als SMTP Relays, ftp zum verteilen von warez oder hosten phishing seiten!

Knifegunaxe jetzt aber hier so "runter zu buttern" find ich aber unpassend.

Und iptables macht sehr wohl Sinn auf einem Server der in öffentlichen Netzen steht.Mit iptables kann man sich recht gut vor bestimmten attacken schützen wie z.B. icmp flooding, syn cookie floods, gefälschte sources usw. Damit kann man schon eine recht große Bandbreite abfangen und macht es bereits genannten Script Kiddies etwas schwerer. iptables hat ausserdem sehr umfangreiche log mechanismen mit denen man attacken analysieren kann.

ich habe mehrere root server produktiv laufen und auf allen laufen iptables scripte. wenn ich in die logs sehe wird mir immer wieder klar, dass diese einfach nötig sind.

Ich muss aber auch einräumen dass iptables fast nichts / rein gar nichts bringt wenn alle dienste noch laufen. Temporär wird es wohl ein wenig Schutz bieten aber man sollte primär aufräumen und absichern / das system härten (stichwort jails und chroot umgebungen).

[flo]

Knifegunaxe jetzt aber hier so "runter zu buttern" find ich aber unpassend.

Generell vorsichtiges ACK :-)

... iptables kann man sich recht gut vor bestimmten attacken schützen wie z.B. icmp flooding, syn cookie floods, gefälschte sources usw. Damit kann man schon eine recht große Bandbreite abfangen und macht es bereits genannten Script Kiddies etwas schwerer. iptables hat ausserdem sehr umfangreiche log mechanismen mit denen man attacken analysieren kann.

1) Du möchtest Dir mal die Kernelfunktionen ansehen
2) Logging != Sicherheit, und darum ging es (mir|am Anfang)
3) Bei einem gehackten Produktivserver habe ich etwas anderes zu tun, als mir die Logs anzusehen. Ich habe neulich auch aus Bequemlichkeit /tmp nach Installation falsch gemountet und jemand ist über horde reingekommen. Bei so etwas hilft keine Firewall und keine iptables, mod_security evtl.

ich habe mehrere root server produktiv laufen und auf allen laufen iptables scripte. wenn ich in die logs sehe wird mir immer wieder klar, dass diese einfach nötig sind.

Ich bin immer noch der Meinung, daß man für die gängigen Attacken auf die Applikation herunter muß - und die Filterung hier (siehe mod_security) bringt massive Performance-Einbußen. Man kann gerade bei Kleinmist wie ICMP also durchaus argumentieren, daß "Ohren anlegen und durch" dem Server am meisten bringt, wenn man nicht auf den Ping angewiesen ist, ist der eh abgeschalten.

Temporär wird es wohl ein wenig Schutz bieten aber man sollte primär aufräumen und absichern / das system härten (stichwort jails und chroot umgebungen).

Jails und chroot schön und gut, aber hier verläßt man sich dann über kurz oder lang dann auch wieder darauf, daß das Ding "sicher" ist, auch wenn es genügend Möglichkeiten gibt, aus solchen Mechanismen auszubrechen. Die wenigsten Attacken sind ja wirkliche Rootkits oder auch nur im entferntesten darauf ausgelegt, den Server komplett zu übernehmen oder alle Daten auszuspähen.

flo.