firewall rules ?

    Hallo,


    ich habe soeben ein paar Firewall Rules im Webinterface hinzugefügt, da ja iptables leider nicht geht.
    Die gesperrte IP kann den Server dennoch erreichen.
    Folgendes habe ich eingetragen:


    INPUT any 88.77.213.242 25 meineServerIP 25 DROP
    INPUT any 88.77.213.242 110 meineServerIP 110 DROP


    Was ist daran falsch oder habe ich etwas vergessen, damit die 88.77.213.242 geblockt wird? Bitte um Informationen. Besten Dank...


    MfG

    Warum weiß keiner, aber "any" bedeutet hier so viel wie "ignoriere diese Regel" ;)

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    any steht doch aber beim Protokoll. Normal sollte any alle verfügbaren Protokolle sein... Sehr komisch. Kann man eine Regel irgendwie bearbeiten? Finde nur deaktivieren und löschen...


    MfG

    Ne, musst wohl neu anlegen.
    Mitte September soll ein neues Webinterface rauskommen. Ich gehe malö davon aus, dass dort dann der Bug behoben sein wird.


    Zum "any", was eher "nothing" bedeutet: s. hier

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Aha ok, evtl wird ja mal das komplette OpenVCP geupdatet. Die neue Version hat viele neue Eigenschaften und ist sehr entbugt...


    Die Frage ist aber, warum kann die gesperrte IP dennoch eine Verbindung via Port 25/110 aufbauen, auch wenn ich TCP beide sperre...


    MfG

    Also wenn du es so machst das du Protokoll TCP wählst und dann bei Übereinstimmung STATE und unten New, Established, Related markierst, dann sollte es funktionieren. beachte aber das regeln die weiter oben stehen höhere priorität haben. Hast du also irgendwo weiter oben eine Regel die die Sperrung aufhebt so bringt die Sperrregel nichts und müsste weiter nach oben verschoben werden.

    Hallo,


    die Rule greift einfach nicht. Habe Port 110 und 25 (TCP) mit den Einstellungen blockiert, die eingetragene IP kann dennoch über beide Ports zugreifen. Hat jmd. eine Idee, damit der Filter funktioniert?


    MfG

    Ich habe es eben gerade ausprobiert. rinetd auf nem Port lauschen und zum Webserver umleiten lassen und den Port aufgerufen: Funktioniert.


    Dann habe ich eine Regel angelegt:
    INPUT
    S-IP: leer
    S-Port: leer
    D-IP: any
    D-Port: <der besagte Port>
    Policy: DROP
    Übereinstimmung: leer
    der Rest: so, wie er war


    => Die Verbindung war nicht mehr möglich, die Website hat nicht geladen, TCP-Fehler 110: Connection timed out.



    Ein zweiter Versuch:
    INPUT
    S-IP: leer
    S-Port: leer
    D-IP: any
    D-Port: <der besagte Port>
    Policy: DROP
    Übereinstimmung: STATE
    Wert für Übereinstimmung: NEW,ESTABLISHED,RELATED


    => Die Verbindung war ebenfalls nicht mehr möglich, die Website hat nicht geladen, TCP-Fehler 110: Connection timed out.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Hallo,


    ich habe die Source IP jedoch eingetragen und nicht leer gelassen, dann klappt es leider nicht, die Verbindung kommt zu Stande... trotz Firewall Rule...


    INPUT tcp 88.77.213.242 25 meineServerIP 25 DROP STATE NEW,ESTABLISHED,RELATED


    und das selbe mit 110 als Port.


    Habe das mit mehreren Adressen getestet, leider immer das selbe Problem, dass Sie nicht gebannt werden...


    MfG

    So, ich habe es jetzt mal mit einer bestimmten Source-IP getestet: Klappt bei mir.


    INPUT
    S-IP: <zweiter Server>
    S-Port: leer
    D-IP: any
    D-Port: <der besagte Port>
    Policy: DROP
    Übereinstimmung: leer
    der Rest: so, wie er war


    => Eine Verbindung war nicht möglich, die Website hat nicht geladen, TCP-Fehler 110: Connection timed out.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Ich schätze, das gehört auch so. Wenn ich ein HTTP-Request losjage, sende ich gewiss nicht auf Port 80. Wenn dann aber der Source-Port 80 eingetragen ist, greift die Regel nicht.
    Überhaupt ist es sehr einfach, den Sendeport zu ändern, weshalb man da in den FW-Regeln nicht drauf bauen sollte.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat von informant;23365

    Hallo,


    wenn ich den Source Port leer lasse scheint es zu klappen. Werd es mal beobachten.


    MfG


    Da muss ich Artimis recht geben.


    Wenn man selbst ein Programm schreibt in java oder c# dann wird beim senden vom eigenen rechner an einen server meist irgendein port benutzt der gerade frei ist! Das macht zum beispiel auch der Firefox oder ein FTP-Programm so.


    Es gibt wohl nur wenige ausnahmen wo man den Source-Port überhaupt angeben sollte als Firewall regel (mir fällt gar keiner ein), denn eigentlich kann dir der Port auf dem der Rechner die Anfrage losgeschickt hat relativ egal sein.