Firewall ? Standardpolicity deny!?!?

    Hallöchen leute,


    ich weiß, ich könnts bestimmt schon gar nicht mehr hören, aber der Support sowie sämtliche Firewall Threads im Forum haben mir nicht geholfen.



    Hier meine Einstellung im OpenVCP: (VServer 1000 mit Ubuntu 10)
    [Blockierte Grafik: http://s2.imgimg.de/uploads/tmp249d87adpng.png]


    Erstes Ziel: Alles verbieten:


    Also was ich bei den anderen Threads verstanden habe, müssen die beiden DROP Regeln immer zum schluss stehen. Alle ACCEPT Regeln müssen quasi eine niedrigere "order" Nummer haben (quasi oben stehen).


    Hier mal ein auszug aus der Support Email von netcup.
    Prüfen Sie ggf. ob Ihre angelegten Regeln gültig sind.
    Bei DROP Regeln darf bei einem STATE z.B. nicht NEW, ESTABLISHED und RELATED
    gewählt werden.


    Ziel ist es für mich erstmal, den Server komplett dicht zu machen. Was mir ja eigentlich mit den 2 Regeln schon hätte gelingen müssen.
    (Leider) kann ich immer noch ohne Probleme auf mein TS Server connecten. Als wäre nix.
    SSH funktioniert aber z.b. nicht. Die Query Ports von TS auch nicht. Diese sind ja beide TCP.
    Der TS Server selbst läuft über UDP. Gibts da vielleicht ein gewissen hintergrund den ich beachten müsste?

    Zweites Ziel: TS³ Server only erlauben
    Sollte denn der Server irgendwann mal dicht sein, wäre das nächste Ziel den UDP Port von TS zu erlauben + SSH zu erlauben


    SSH TCP---> 22 ACCEPT mit STATE: NEW, ESTABLISHED, RELATED
    TS UDP ---> 36423 ACCEPT mit STATE: NEW, ESTABLISHED, RELATED




    Hab ich irgendwo nen kompletten Denkfehler?

    ich habe die Firewall bei einem meiner Sever wie folgt eingerichtet. Der Server ist auch nur an den gewünschten Ports erreichbar.


    [Blockierte Grafik: http://s5.directupload.net/images/100924/zner7tsm.png]


    Also:


    Deine Allow Policities sind am Anfang deiner Liste.
    Die Reihenfolge ist vollkommen egal.


    Deine Drop Regeln sind am Schluss.


    Wenn du alles droppen möchtest außer deinen speziell freigegebenen Ports, wähle folgende Einstellungen:
    [Blockierte Grafik: http://s7.directupload.net/images/100924/hp9ojmgp.png]




    Zitat von Scaleo;25444


    Nachdem die Firewall aktiviert wurde ist ein Neustart des vServers nötig!


    Oh, wird hier ZoneAlarm eingesetzt? :D


    Das ändern der FW-Regeln klappte bei mir bisher immer Live.

    "Security is like an onion - the more you dig in the more you want to cry"

    Dann nehm ich alles zurück. Dachte das das bei mir damals so war, dass in der Mail stand, bitte starten Sie ihren Server einmal neu...
    Bitte um Entschuldigung


    Aber wie es aussieht habe ich da was durcheinander gebracht... Könnte auch das TUN DEVICE gewesen sein, das einen neustart erfordert :D:D:D


    Habe natürlich gleich den obigen Beitrag korrigiert ;)

    Erstmal danke für die schnellen antworten und vorallem danke an scaleo für die anschaulichen Bilder :)


    Hab nun nur noch folgende 2 Rules drin:
    [Blockierte Grafik: http://s2.imgimg.de/uploads/tmp30e0eb95png.png]


    Danach müsste doch jetzt ALLES gesperrt sein, oder?
    Bin aber immer noch aufm TS und selbst nach nem Restart ist immer noch alles so, als wäre nix :-/ Kann ganz gemütlich drauf joinen, mit anderen labern, etc...


    :-/
    *help*

    So ich habe meine Kofiguration gerade nochmal mit einem Portscanner getestet. Sie funktioniert.
    Vielleicht solltest du dich einfach nochmal an den Support wenden.


    Denn deine Regeln stimmen soweit. Zumindest sehe ich das so. Wenn ich genau deine Regeln in meiner Testumgebung einstelle kann ich jedenfalls nicht mehr connecten!


    Außerdem könntest du uns mal ein


    Zitat

    netstat -tulpen


    geben. Dann sehen wir mal was alles lauscht...

    Ich glaub, ich habs.
    Die Firewall funktioniert wie angegeben.
    D.h. die letzten 2 Rules: DROP rules für TCP und UDP.
    Alle regeln davor definieren die Außnahmen.


    Ich war halt die ganze Zeit auf dem TS Server connected und hab an den Firewall Regeln rumgespielt. Und es scheint so, als ob sich das der Server irgendwie gemerkt hat. Ich selbst konnte dadurch ohne irgendwelche Probleme draufjoinen etc. Aber alle leute, die vorher noch nicht drauf waren, kamen nicht mehr rein ;) ---> Firewall funktionierte...


    Kurz darauf die UDP Ports von den TS Servern eingetragen und schon kamen alle rein.


    War hat extrem verwirrt dass die Firewall Regeln bei mir selbst keinerlei Wirkung gezeigt hatte. Bei anderen schon.


    Also sollte mal wieder jemand so ein ähnliches Problem haben und glauben, dass seine Firewall nicht funktioniert. Holt euch einfach mal ne neue IP vom Provider (vorrausgesetzt ihr könnt das ^^) und probierst nochmal.
    [Blockierte Grafik: http://s2.imgimg.de/uploads/tmp30e0eb95png.png]


    Nochmal danke @ Scaleo!

    Ich habe das auch schonmal festgestellt. Wenn jemand auf TS3 ist und ich ihn in der Firewall banne kann er munter weiter reden usw. Wenn die Person (oder ich zum testen) allerdings den TS3 Clienten einmal komplet schließt und wieder startet kann sie nichtmehr connecten. Wieso das so ist weiß ich aber leider auch nicht.

    das problem hab ich bei meinem teamspeak auch fest gestellt - aus irgend einem grund scheinen die UDP regeln gar nicht zu funktionieren.


    es wird alles geblockt, mit tcp funktioniert alles soweit.


    habe also das gleiche problem - wer ist noch dabei? ;)


    ich warte ja so sehnsüchtig auf das neue interface....

    Zitat von vmk;25654

    fallobst, vielleicht "bannst" du die Firewall-Regel falsch - Wie trägst du die Regel denn konkret ein?



    Glaub ich eigentlich nicht. Ich benutze das aktuellste fail2ban skript aus dem Forum und rufe es dann manuell auf.

    @ dani4u & fallobst:


    ich dachte auch erst, dass die Firewall UDP Einstellungen überhaupt nicht funktionieren. Aber warte mal ne stunde, hol dir selbst ne neue IP und probiers nochmal. Du wirst sehen, dass du selbst dann auch nicht mehr connecten kannst, weil halt die Firewall dann doch funktioniert ;)

    Zitat von Xellx;25677

    @ dani4u & fallobst:


    ich dachte auch erst, dass die Firewall UDP Einstellungen überhaupt nicht funktionieren. Aber warte mal ne stunde, hol dir selbst ne neue IP und probiers nochmal. Du wirst sehen, dass du selbst dann auch nicht mehr connecten kannst, weil halt die Firewall dann doch funktioniert ;)


    danke sehr! ich werds mal testen sobald ich zeit dafür finde.


    dennoch: es scheint ja so, als ob die UDP DENY regeln nicht "ganz" funktionieren - denn bei TCP funktioniert es sofort - ohne zu meckern ist sofort ALLES dicht.. ich finds seltsam..

    Zitat von fallobst;25692

    Wiegesagt: Neue IP und lange warten brauch man garnicht. Es reicht am beispiel Teamspeak wenn man den Clienten einmal komplett schließt und dann wieder startet


    jedoch auch nur mit ner neuen ip.. ohne ip wechsel hab ich das mit neustarten ja versucht, aber das ging nicht..


    nur schade dass ich ne statische ip hab ;) ... da muss ich schon proxy nutzen damit ich das testen kann.