Root-Server - iptables Konfiguration und ipv6

    Hallo an alle,
    ich bin neu hier im Forum und als Kunde bei netcup. :)
    Erstmal ein riesiges Lob an netcup für die super schnelle und unkomplizierte Bereitstellung meines Servers. :)
    Folgende Punkte sind aktuell auf meiner Liste, welche ich gerne klären würde. (Ich nutze CentOS 6 und SolusVM)
    Zum einen:
    Ist die iptables Konfig. so in Ordnung oder würdet ihr noch etwas ergänzen / verändern? (Bis jetzt nutze ich nur SSH + SolusVM auf dem Port 5656.)



    Des weiteren habe ich z. Z. ein kleines Problem. Eig. möchte ich bis jetzt (noch) nicht IPv6 nutzen und habe es auch nicht im VCP aktiviert. Mir ist jedoch aufgefallen, dass eth0 trotzdem eine IPv6 erhält. Ausser dem ist es mir nicht möglich via "yum install ntp" z. B. ntp zu installieren, da die Spiegelserver nicht erreichbar sind. (Diese werden über IPv6 angesprochen, wenn ich es richtig verstanden habe)
    Ist es möglich die Spiegelserver auch via IPv4 zu erreichen und wenn ja, ist es sinnvoll oder eher nicht? (Falls nicht müsste ich ip6tables entsprechend konfigurieren. Ich habe zur Zeit alle Chains auf DROP da ich IPv6 ja eig. nicht nutzen möchte.)


    Schon jetzt vielen Dank für Antworten!


    Liebe Grüße und einen schönen Abend!
    Frederic

    Darf ich fragen weshalb du SolusVM nutzt, ich möchte nur hoffen das du weißt das Virtualisierung nicht funktioniert bei KVM-Server von Netcup. Außer du hast nur den Master without Virtualization gewählt, womit du dann nur Nodes verwalten kannst


    Sofern ich das in Erinnerung habe sichert SolusVM den Server schon so ab, nur ist es weiterhin fragwürdig warum du es benutzt. Da es ein reines Verwaltungspanel für Wirtsysteme im SolusVM-Cluster ist.


    Sicherheit unter SolusVM: Security - SolusVM Docs - SolusVM Documentation


    Ports unter SolusVM: SolusVM Ports - SolusVM Docs - SolusVM Documentation

    Hallo,
    KB19 ... Vielen Dank für das Stichwort. :) Wieder was dazu gelernt.
    tuxmaster ... Ich habe deine Vorschläge umgesetzt. Du hast natürlich vollkommen Recht damit, dass es sinnvoll ist den Port zu verschieben um zumindest das Grundrauschen ein wenig zu reduzieren. Des weiteren habe ich IPv6 nun deaktivieren können. Ich werde diesen Zustand auch vorerst so belassen, da ich mich erst in das Thema IPv6 einarbeiten möchte bevor ich auf einem Produktivsystem damit arbeite. (Einlesen... Testserver im lokalen Netzwerk... etc...)
    Skulduggery ... Ich habe den Master with Virtualization gewählt. Zuvor habe ich bewussten den netcup Support um Informationen bzgl. meines Vorhabens kontaktiert. Dieser hat mir bestätigt, dass eine Virtualisierung auf den Servern möglich ist.


    Nachdem ich nun IPv6 deaktiviert und die sehr sinnvollen Vorschläge umgesetzt habe sieht meine iptables Ausgabe wie folgt aus:



    Leider habe ich weiterhin das Problem mit yum, dass selbiges die Spiegelserver nicht erreichen kann... folgende Ausgabe erhalte ich bei Eingabe von "yum update"



    Wenn ich die CHAIN Policy von DROP auf ACCEPT stelle und somit faktisch die Firewall deaktiviere läuft YUM ohne Fehler:



    Woran liegt das? Ich finde den Fehler leider nicht. Fehlen eventuell noch Regeln in iptables?


    Schon jetzt danke für Antworten!


    Liebe Grüße
    Frederic

    Was bei dir auffällt ist:
    0 0 ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
    Er kommt nie bis dahin, was er aber müsste.
    Kannst du uns mal den "Quelltext" deiner Regeln zeigen?
    /etc/sysconfig/iptables

    Hallo,
    klar gerne. Hier die gewünschte Ausgabe:



    LG
    Frederic

    Was mirt gleich auffällt, das du das tracking nicht richtig machst.
    Damit wie wieder reinkommen Pakete erkannt werden solltest du die Ports via:
    -A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport ZIelPOrt -j ACCEPT öffnen
    Und du solltest das mit dem default drop lassen.
    besser am ende der Input kette:
    -A INPUT -j DROP.
    Weil sonst musst du alle ausgehen Pakete markieren.
    Beispiel:
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport PORT --src -j ACCEPT
    -A INPUT -j DROP
    -A FORWARD -j DROP
    COMMIT

    Hallo,
    ich habe direkt versucht die vorgeschlagene Konfiguration von dir umzusetzen. Leider sperre ich mich dann aber beim setzten der "-A INPUT -j DROP" selbst aus.
    Würdest du mir das ganze einmal näher erläutern? Würde mich sehr freuen. :)



    Danke!

    Zitat von tuxmaster

    na du hast dein SSH port vergesssen,
    Oben schriebst du der liegt bei: 12345


    Sorry, nein habe ich nicht... hatte nur 12345 als Bsp. genommen ... und es vergessen wieder anzupassen.. ich nutze den Port der im letzten Post angegeben ist als SSH Port. Daran kann es also nicht liegen.


    LG

    Hey,
    das habe ich beim erstellen der Regeln gar nicht mit geschrieben. ;)
    Habe gerade nochmal die Regeln erstellt. Jedoch ist keine Verbindung mehr möglich nachdem ich -A INPUT -j DROP ausgeführt habe. :/


    LG

    Code
    netstat -ntap|grep sshd
tcp        0      0 0.0.0.0:25724               0.0.0.0:*                   LISTEN      1042/sshd           
tcp        0      0 xx.xxx.xxx.xx:25724         xx.xxx.x.xx:45450           VERBUNDEN   1857/sshd           
tcp        0      0 :::25724                    :::*                        LISTEN      1042/sshd


    Ja ;)

    Und du hast auch den orginal CentOS kernel laufen?
    Was mich etwas verwirrte sind die Ketten "SOLUSVM_TRAFFIC_IN", da diese nicht in der Konfiguration stehen.
    Und wenn du bevor du das Drop einbaust, eine 2. Verbindung(SSH) aufbaust, zählen die Paketzähler hoch?

    Nein habe ich nicht... ich habe SolusVM installiert und der installer hat einen OpenVZ Kernel mit installiert.


    Code
    [root ~]# uname -a
Linux 2.6.32-042stab108.8 #1 SMP Wed Jul 22 17:23:23 MSK 2015 x86_64 x86_64 x86_64 GNU/Linux