| View previous topic :: View next topic |
| Author |
Message |
tuxianer
Apprentice
Joined: 17 Dec 2005
Posts: 280
Location: Cologne - Germany
|
 Posted: Mon Dec 10, 2007 4:57 pm Post subject: Hilfe bei Iptables config |
 |
|
Hi,
kann mir einer bei der Konfiguration der IpTables helfen, an meinem Webserver sind folgende Ports offen:
| Code: |
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
113/tcp open auth
143/tcp open imap
389/tcp open ldap
443/tcp open https
465/tcp open smtps
587/tcp open submission
631/tcp open ipp
679/tcp open unknown
842/tcp open unknown
993/tcp open imaps
995/tcp open pop3s
2000/tcp open callbook
2049/tcp open nfs
2401/tcp open cvspserver
3306/tcp open mysql
6667/tcp open irc
|
Ich hätte nun gerne das Verbindung vom Host 192.168.1.1 von den Iptables im Ein- & Ausgang NICHT gehindert werden, aber alles was von meinem Router kommt soll nur die ports, imap https pop3s imaps mysql irc ssh smtp ftp smtps cvspserver. Ich hoffe das ist alles was mein Server nach außen braucht  . Kann mir einer bei dieser config helfen ich bin noch nicht so versiert mit den iptables !
Vielen Dank
_________________
Bei Fragen bitte wie folgt vor gehen:
Forum Suche, Lesen, Denken, (NICHTS GEFUNDEN?), Tippen, Posten !
Wer Sorgen hat, der hat auch Likör ! ( Wilhelm Busch) |
|
| Back to top |
|
 |
schmutzfinger
Veteran
Joined: 26 Oct 2003
Posts: 1287
Location: Dresden/Germany
|
| Posted: Tue Dec 11, 2007 8:36 am Post subject: |
|
|
So ungefähr sollte es gehen, aber Doku solltest du trotzdem lesen und auch verstehen was die Regeln sagen.
| Code: |
-P INPUT DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.1.1 -j ACCEPT
-A OUTPUT -d 192.168.1.1 -j ACCEPT
## jetzt sollte alles bis auf den anderen Rechner im LAN und loopback gedropped werden
## jetzt dienste für die welt aufmachen (am bsp von ssh), für andere ports regeln kopieren und entsprechend anpassen
-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -j ACCEPT
## oder mehrere ports in einer regel matchen (hier am bsp von ssh, https, imap)
## die liste der ports kann ziemlich lang werden, für mulitport braucht man Unterstützung im Kern oder das passende Modul
-A INPUT -p tcp -m multiport --dports 22,443,143 -j ACCEPT
-A OUTPUT -p tcp -m multiport --sports 22,443,143 -j ACCEPT
|
ach ja und natürlich sollte vor jeder zeile ein "iptables " stehen. |
|
| Back to top |
|
|
schachti
Advocate
Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany
|
| Posted: Tue Dec 11, 2007 8:43 am Post subject: |
|
|
Meiner Meinung nach fehlt da noch was wie
| Code: | | iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT |
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
| Back to top |
|
|
bbgermany
Veteran
Joined: 21 Feb 2005
Posts: 1844
Location: Oranienburg/Germany
|
| Posted: Tue Dec 11, 2007 8:48 am Post subject: |
|
|
| schachti wrote: | Meiner Meinung nach fehlt da noch was wie
| Code: | | iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT |
|
Dann wäre es schöner, wenn man auch für die Dienste es ein wenig besser gestaltet in der Form z.B.:
| Code: |
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
|
Wenn man die OUTPUT Chain auf ACCEPT lässt, was durchaus oft gemacht wird, dann benötigt man weniger Regeln in der OUTPUT Chain ansich. Das kann aber auch zu einem Sicherheistrisiko führen, für den Fall, dass sich ein Angreifer eine Schwachstelle in einem offenen Dienst zu Nutze macht und Code einschleust. 
MfG. Stefan
_________________
Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
