KVM-Server / Frage zu IP-Tables

idefix · 25. Oktober 2014

Hallo,

Ich versuche gerade auf meinen neu erworbenen KVM Server die Firewall einzurichten.
Leider schlägt dies fehl . Nachdem ich das Script ausgeführt habe gibt es keine Verbindung mehr auf den Server.

Ich steh leider zurzeit an. Hat jemand eine Idee?

Anbei mein Script:

Bash

#!/bin/bash




ip="iptables"




$ip -F




#Alle Verbindungen Blockieren
$ip -P INPUT DROP
$ip -P OUTPUT DROP
$ip -P FORWARD DROP




#SSH Verbindung
$ip -A INPUT -p TCP --sport 22 -j ACCEPT
$ip -A OUTPUT -p TCP --dport 22 -j ACCEPT

Alles anzeigen

tuxmaster · 25. Oktober 2014

Warum denn so umständlich?
Unter jedem Redhat System hast die vorkonfigurierte unter: /etc/sysconfig/iptables bzw. /etc/sysconfig/ip6tables .
Da musst denn nur noch deine gewünschten Ports eintragen

___ · 25. Oktober 2014

Zitat von idefix

Code

$ip -A INPUT -p TCP --sport 22 -j ACCEPT
$ip -A OUTPUT -p TCP --dport 22 -j ACCEPT

Du hast sport und dport verwechselt.

Code

$ip -A INPUT -p TCP --dport 22 -j ACCEPT
$ip -A OUTPUT -p TCP --sport 22 -j ACCEPT

perryflynn · 27. Oktober 2014

Zitat von tuxmaster

Unter jedem Redhat System

Woran erkennst Du, dass der Threadersteller RedHat/CentOS einsetzt?

Jetzt mal ganz unabhängig vom Linux Derivat:

Du setzt die Standardregeln für INPUT, OUTPUT und FORWARD auf DROP. Der einfachste Weg wäre, OUTPUT auf ACCEPT zu setzen. Ansonsten musst Du für jede INPUT Regel auch eine OUTPUT Regel erstellen, da ansonsten zwar Pakete rein kommen, aber nicht mehr raus gehen.

Sprich Du musst für jede kleine Verbindung eine Regel in die Firewall packen. Angefangen bei PING, bishin zu den Paketquellen für apt-get. (Sofern Du ein Debian/Ubuntu System nutzt).

Auch würde aktuell der Aufbau einer SSH Verbindung verdammt lange dauern, da der Server nicht in der Lage ist, eine Reverse DNS Auflösung zu machen. Sprich Port 53 sollte für Deine DNS Server auch freigegeben werden.

Wie schon gesagt: Das Einfachste ist wirklich, OUTPUT einfach offen zu lassen. Ich persönlich beschränke OUTPUT nur, wenn neben mir noch andere User Zugang via SSH auf den Server haben.

tuxmaster · 27. Oktober 2014

Wer unvollständige Infos liefert muss halt damit rechnen, das es nicht passt:)

jah · 7. November 2014

Zitat von idefix

$ip -A INPUT -p TCP --sport 22 -j ACCEPT
$ip -A OUTPUT -p TCP --dport 22 -j ACCEPT

Wie ___ ja schon geschrieben hat, ist hier sport und dport verwechselt (Pakete jeder eingehenden tcp-Verbindung kommen auf einem bestimmten Port rein und gehen von diesem Port wieder raus).

Im Übrigen stimme ich perryflinn zu, daß es sinnvoller und einfacher ist, nur INPUT zu beschränken. Außer in Spezialfällen würde ich auch ausgehende Verbindungen nicht einschränken. Der Output von iptables-save sieht bei mir so aus (Auszug):

Code

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -m limit --limit 5/sec -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22122 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -m limit --limit 5/sec -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j DROP
COMMIT

Alles anzeigen