Tipps für IPtables

  • Ich wollte mal meine Firewall (iptables, Debian 9) neu konfigurieren und deswegen fragen, ob es irgendwas gibt, was ich besonders beachten sollte. Reicht es einfach, standardmäßig alles auf DROP zu haben und einfach benötigte Ports freizugeben? Muss ich diese TCP Flags beachten? Selbiges auch bei ip6tables? Wenn jemand von den eigenen iptables-Regeln überzeugt ist, bitte hier posten :).

  • Ich wollte mal meine Firewall (iptables, Debian 9) neu konfigurieren und deswegen fragen, ob es irgendwas gibt, was ich besonders beachten sollte. Reicht es einfach, standardmäßig alles auf DROP zu haben und einfach benötigte Ports freizugeben? Selbiges auch bei ip6tables?


    Reicht, macht aber bei Dual-Stack Diensten manchmal Probleme

    Bsp.: IPv6 Drop und IPv4 Accept - wenn zuerst auf IPv6 geprobed wird, dann wird der Dienst ggf. als nicht erreichbar angesehen.

    Deshalb lieber Accept Policy und entsprechende Reject Rule.


    IPv6 nicht vergessen: Neighbor Discovery - das ARP von IPv6. Nicht mehr auf MAC Ebene sondern auf IP Ebene - gemanaged über ICMP.

    Siehe auch hier von KB19 (entspricht meiner Ünerzeugung :-P)


    Outbound: DNS und Updateserver nicht vergessen.

    Wenn jemand von den eigenen iptables-Regeln überzeugt ist, bitte hier posten :).

  • Sieht bei mir dann so aus:


  • Sieht bei mir dann so aus:


    Danke

  • Sorry für den Spam, hätte aber noch eine Frage. Ich komme mit den Chains nicht weiter. Worin liegt bei mir der Fehler?

    Code
    1. #TeamSpeak3
    2. ip6tables -N TS3-IN
    3. ip6tables -A INPUT -j TS3-IN
    4. ip6tables -A INPUT -p udp -m udp --dport 9987 -j TS3-IN
    5. ip6tables -A INPUT -p tcp -m multiport --dports 10011,30033 -m state --state NEW -j TS3-IN
    6. ip6tables -A TS3-IN -j ACCEPT
  • H6G Warum verwendest du bevorzugt REJECT anstelle von DROP?

    Siehe:

    Reicht, macht aber bei Dual-Stack Diensten manchmal Probleme

    Bsp.: IPv6 Drop und IPv4 Accept - wenn zuerst auf IPv6 geprobed wird, dann wird der Dienst ggf. als nicht erreichbar angesehen.

    Deshalb lieber Accept Policy und entsprechende Reject Rule.

    Sorry für den Spam, hätte aber noch eine Frage. Ich komme mit den Chains nicht weiter. Worin liegt bei mir der Fehler?

    Zeile drei sollte weg. Zeile drei bedeutet: du schiebst jeden Traffic in die Chain TS3-IN und Akzeptierst ihn dann. Die beiden unteren Regeln werden nicht mehr berücksichtigt.

  • Hallo hier meine IP(6)tables Files

    (da ich CentOS habe sind die Files bei mir in /etc/sysconfig/ und werden automatisch ausgeführt, sprich

    es ist da kein Skript welches explizit iptables od. ip6tables aufruft notwendig)


    f. IP /etc/sysconfig/iptables


    f. IPv6 /etc/sysconfig/ip6tables

  • Vielen Dank!

    Zeile drei sollte weg. Zeile drei bedeutet: du schiebst jeden Traffic in die Chain TS3-IN und Akzeptierst ihn dann. Die beiden unteren Regeln werden nicht mehr berücksichtigt.

    Das komische ist, dass ich dann immer noch nicht durchkomme.

  • Ich hab mir mal vor ner Zeit eine Vorlage für ipv4 und ipv6 Firewall gemacht und ersetzt seitdem darin einfach nur noch die Adressen und Interface Namen.


    ALLERDINGS: Das ist eine sehr restriktive Firewall (in meinen Augen)

    Hier muss ALLES explizit erlaubt werden.

    Aber das ist nun mal meine Vorstellung von einem "gut" gesicherten und administrierten System.

    Mir ist durchaus bewusst, dass das vielleicht nicht jeder so weit treiben will.


    In dem Beispiel ist erst mal nur SSH inbound erlaubt.

    Ausgehend DNS,NTP,Packet-updates


    ipv4:



    ipv6: