Frage an Experten: Opennvpn mit iptables/fail2ban absichern

ostfriese · Feb 21st 2020

Ich habe auf einem vServer openvpn und fail2ban installiert. Ich habe mir folgende iptables zusammenprobiert. Die Frage ist, ob ihr das für sicher haltet, oder ob da Schnitzer darin sind?

Der SSH-Zugriff soll nur von der IP 77.22.xx.xx erlaubt sein, openvpn soll für Roadwarrior als Internet-Relais zur Verfügung stehen, wobei hier die Source-IP natürlich wechselt.

Code

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  77.22.xx.xx          0.0.0.0/0            tcp dpt:22
2    DROP       all  --  127.0.0.0/8          0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    f2b-opnv   udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 1194
5    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:1194
6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
7    LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 7 prefix ""iptables_INPUT_denied:""
8    DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  10.8.0.0/24          0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
3    LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 7 prefix ""iptables_FORWARD_denied:""
4    DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            77.22.xx.xx          tcp spt:22
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     udp  --  94.16.xxx.xxx        0.0.0.0/0           
4    ACCEPT     all  --  0.0.0.0/0            46.38.225.230       
5    ACCEPT     all  --  0.0.0.0/0            1.1.1.1             
6    LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 7 prefix ""iptables_OUTPUT_denied:""
7    DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain f2b-opnv (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Display More

Vielleicht kann mir ja jemand erklären, was die drei folgenden Regel bedeuten:

Code

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT ! -i lo -s 127.0.0.0/8 -j DROP
iptables -I OUTPUT -o lo -j ACCEPT

Diese erstellen in der INPUT chain die Einträge #2 und #3 und in der OUTPUT chain den Eintrag #2.

Das hat wohl was mit dem Loopback zu tun, aber mir ist nicht zu 100% klar, was genau.

Danke für eure Antworten.

mainziman · Feb 21st 2020

ich hab bei mir nur die beiden folgenden Regeln im Zshg. mit dem loopback-Device

Code

-A INPUT -i lo -j ACCEPT                                                                                                      -A OUTPUT -o lo -j ACCEPT

und das sowohl f. iptables (IPv4) als auch f. ip6tables (IPv6)

ohne dieser Regeln wirds etwas schwierig mit z.B. ping6 ::1 od. ping 127.0.0.1

Valkyrie · Feb 21st 2020

Hi,

Ich selber bin kein Freund von iptables direkt und benutze daher immer "ufw". Vielleicht möchtest du dir das auch mal anschauen, weil es viel simpler zu konfigurieren und einfacher zu verstehen ist.

Ich kann dir nicht viel zu deinen Chains sagen, aber beispielsweise der dritte Eintag der Input Chain macht doch den Rest obsolet, oder nicht?

Code

3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Man möge mich bitte korrigieren, aber dadurch darf sich doch jeder verbinden?

Mit ufw würde ich das so machen:

Code

ufw default deny incoming     # alles verbieten was nicht explizit erlaubt wird
ufw default allow outgoing    # raus darf dein Server überall hin (kannst du natürlich noch anpassen)
ufw allow from 77.22.xx.xx to any port 22    # das verbinden zum SSH Port nur für deine IP erlauben 
ufw allow 1194                # verbinden zum OpenVPN Port erlauben, erlaubt von überall

Wenn ich mich nicht verlesen habe, sollte das schon für dich genügen. Danach dann einfach die ufw starten, aber denk dran dich nicht auszusperren:

Code

ufw enable

ostfriese · Feb 21st 2020

IPv6 ist bei mir disabled. Habe noch keine Nachteile dadurch festgestellt.

ostfriese · Feb 21st 2020

Quote from Valkyrie
...
Ich kann dir nicht viel zu deinen Chains sagen, aber beispielsweise der dritte Eintag der Input Chain macht doch den Rest obsolet, oder nicht?

...

Das ist mir ach suspekt. Aber ich habe das irgentdwo gelesen:
Code
# Allow all loopback (lo) traffic and reject traffic
# to localhost that does not originate from lo.
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
iptables -A OUTPUT -o lo -j ACCEPT

daraus resultiert der Eintrag:

Code

3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

wenn das nicht drin ist, habe ich immer Einträge im Log das output vom 127.0.0.1 zu 127.0.0.1 denied werden.

Code

iptables_OUTPUT_denied:"IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1

ufw, ja, bin aber eher old fashioned.

Valkyrie · Feb 21st 2020

Ahh sorry, lesen müsste man können Hab voll übersehen, dass das vom Loopback Interface kommt. (Kann man das nicht in der Chain Übersicht selbst irgendwie sehen?)

Generell würde ich dazu sagen, dass du über die Loopback Adresse eben noch mit dir selbst kommunizieren darfst, weil beispielsweise eine Anwendung auf localhost lauscht. Der zweite Befehl davon

Code

iptables -I INPUT ! -i lo -s 127.0.0.0/8 -j DROP

verbietet nur explizit nochmal, dass nichts außer 127.0.0.0/8 mit deinem Loopback Interface kommunizieren darf (also nur du selbst).

Das ist jetzt aber sehr gefährliches Halbwissen, ich lass lieber die anderen übernehmen. Bitte korrigiert mich, falls ich Schwachsinn laber!

ostfriese · Feb 21st 2020

Kann man in der chain nicht sehen. Auf Jeden Fall ist es so, dass ich nicht mit einer andern ip als 77.22.xx.xx auf irgenetwas außer udp 1194 zugreifen kann.

ein list ohne line-numbers und ohne -n sieht so aus(da sieht man auch nicht, das das sich wohl auf loopback bezieht)

Code

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  ipxxxxxx.dynamic.kabel-deutschland.de  anywhere             tcp dpt:ssh
DROP       all  --  loopback/8           anywhere            
ACCEPT     all  --  anywhere             anywhere            
f2b-opnv   udp  --  anywhere             anywhere             multiport dports openvpn
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere             LOG level debug prefix ""iptables_INPUT_denied:""
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.8.0.0/24          anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere             LOG level debug prefix ""iptables_FORWARD_denied:""
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             ipxxxxxxx.dynamic.kabel-deutschland.de  tcp spt:ssh
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     udp  --  v2xxxxxxxxxxx.bestsrv.de  anywhere            
ACCEPT     all  --  anywhere             dns-resolv1.netcup.net 
ACCEPT     all  --  anywhere             one.one.one.one     
LOG        all  --  anywhere             anywhere             LOG level debug prefix ""iptables_OUTPUT_denied:""
DROP       all  --  anywhere             anywhere            

Chain f2b-opnv (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

Display More

ostfriese · Feb 21st 2020

Habe hier noch einmal die iptables Befehle mit Kommentar zusammengefasst. Dort sind mehr Infos drin.

Ich hoffe, dass ich mit eurer Hilfe die Kommentare #unsicher warum auflösen kann.

Code

#Regeln für INPUT:

#Policy ACCEPT weil ich loggen will 
iptables -P INPUT ACCEPT

#ssh nur von 77.22.xx.xx zulassen
iptables -A INPUT  -p tcp --src 77.22.xx.xx --dport 22 -j ACCEPT

#unsicher warum
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP                            
iptables -I INPUT -i lo -j ACCEPT                                           

#udp Port 1194 erlauben für openvpn
iptables -I INPUT -p udp --dport 1194 -j ACCEPT

#ESTABLISHED,RELATED zulassen
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Alles, was in keine der oberen Regeln passt, loggen und droppen
iptables -A INPUT -j LOG --log-prefix "iptables_INPUT_denied:" --log-level 7
iptables -A INPUT -j DROP



#Regeln für FORWARD

#Policy ACCEPT weil ich loggen will 
iptables -P FORWARD ACCEPT

#Forward für openvpn Clients zulassen
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT

#ESTABLISHED,RELATED zulassen
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Alles, was in keine der oberen Regeln passt, loggen und droppen
iptables -A FORWARD -j LOG --log-prefix "iptables_FORWARD_denied:" --log-level 7
iptables -A FORWARD -j DROP


#Regeln für OUTPUT

#Policy ACCEPT weil ich loggen will 
iptables -P OUTPUT ACCEPT

#ssh output nach 77.22.xx.xx
iptables -A OUTPUT -p tcp -d 77.22.xx.xx --sport 22 -j ACCEPT

#unsicher warum
iptables -A OUTPUT -o lo -j ACCEPT

#Verbindung vom vServer nach udp zulassen
iptables -A OUTPUT -s 94.16.xxx.xxx -p udp -j ACCEPT

#DNS Netcup
iptables -A OUTPUT -d 46.38.225.230 -j ACCEPT
iptables -A OUTPUT -d 46.38.252.230 -j ACCEPT

#DNS OneOneOneOne
iptables -A OUTPUT -d 1.1.1.1 -j ACCEPT

#Alles, was in keine der oberen Regeln passt, loggen und droppen
iptables -A OUTPUT -j LOG --log-prefix \"iptables_FORWARD_denied:\" --log-level 7
iptables -A OUTPUT -j DROP

Display More

ostfriese · Feb 21st 2020

Kann leider nicht mehr editieren. Alle -I durch -A ersetzen.

mainziman · Feb 21st 2020

die Regeln sind irgendwie etwas konfus und inkonsistent ...

- 2mal ESTABLISHED, RELATED mit INPUT, aber keine mit FORWARD,

und vor allem bei FORWARD, welcher Source und welcher Destination Port?

- default Policy jeweils ACCEPT, und dann die OUTPUT Regeln auf die DNS-Server?

und die noch dazu unvollständig ...

- der Kommentar '#Policy ACCEPT weil ich loggen will' ist auch falsch

ostfriese · Feb 21st 2020

Ok, überarbeite ich danke für die Hinweise.

H6G · Feb 21st 2020

Warum müllst du dir den syslog damit zu?

ostfriese · Feb 21st 2020

Ok, hier überarbeitet.

Quote from mainziman

die Regeln sind irgendwie etwas konfus und inkonsistent ...

ja, stimmt, liegt daran, dass ein Script die Regeln erstellt und ich die da falsch heraus-kopiert habe.

Quote from mainziman

...

- 2mal ESTABLISHED, RELATED mit INPUT, aber keine mit FORWARD,

...

auch ein Kopierfehler.

Quote from mainziman

...
und vor allem bei FORWARD, welcher Source und welcher Destination Port?

...

alle, weil die openvpn Client über die vServer public IP weiter in's Internet sollen.

Quote from mainziman

- default Policy jeweils ACCEPT, und dann die OUTPUT Regeln auf die DNS-Server?

Konzept soll sein, Regel trifft zu und wird angewendet,kein Logeintrag, wenn keine Regel zutrfft, dann wird geloggt und anschließend gedroppt.

Die OUTPUT Regeln waren Quatsch, danke für den Tipp.

Hier die Befehle und darunter der Qutput von iptables -L --line-numbers -n -v

Code

#Regeln für INPUT:

#Policy ACCEPT 
iptables -P INPUT ACCEPT

#ssh nur von 77.22.xx.xx zulassen
iptables -A INPUT -p tcp --src 77.22.xx.xx --dport 22 -j ACCEPT

#lo nur für localhost (?)
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP                            
iptables -A INPUT -i lo -j ACCEPT                                           

#udp Port 1194 erlauben 
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

#ESTABLISHED,RELATED zulassen
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Alles, was in keine der oberen Regeln passt, loggen und droppen
iptables -A INPUT -j LOG --log-prefix INPUT_denied: --log-level 7
iptables -A INPUT -j DROP



#Regeln für FORWARD

#Policy ACCEPT
iptables -P FORWARD ACCEPT

#Forward für openvpn Client zulassen
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT

#ESTABLISHED,RELATED zulassen
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Alles, was in keine der oberen Regeln passt, loggen und droppen
iptables -A FORWARD -j LOG --log-prefix FORWARD_denied: --log-level 7
iptables -A FORWARD -j DROP



#Regeln für OUTPUT

#Policy ACCEPT weil ich loggen will 
iptables -P OUTPUT ACCEPT

#ssh output nach 77.22.xx.xx
iptables -A OUTPUT -p tcp -d 77.22.xx.xx --sport 22 -j ACCEPT

#unsicher warum
iptables -A OUTPUT -o lo -j ACCEPT

#NEW,ESTABLISHED
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT

#Alles, was in keine der oberen Regeln passt, loggen und droppen
iptables -A OUTPUT -j LOG --log-prefix OUTPUT_denied: --log-level 7
iptables -A OUTPUT -j DROP

Display More

Code

iptables -L --line-numbers -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in  out  source       destination         
1       82  8581 ACCEPT     tcp  --  *   *    77.22.xx.xx  0.0.0.0/0   tcp dpt:22
2      632  119K f2b-opnv   udp  --  *   *    0.0.0.0/0    0.0.0.0/0   multiport dports 1194
3        0     0 DROP       all  --  !lo *    127.0.0.0/8  0.0.0.0/0           
4      255  7395 ACCEPT     all  --  lo  *    0.0.0.0/0    0.0.0.0/0           
5      629  119K ACCEPT     udp  --  *   *    0.0.0.0/0    0.0.0.0/0   udp dpt:1194
6      932  162K ACCEPT     all  --  *   *    0.0.0.0/0    0.0.0.0/0   ctstate RELATED,ESTABLISHED
7       54  3473 LOG        all  --  *   *    0.0.0.0/0    0.0.0.0/0   LOG prefix "INPUT_denied:"
8       54  3473 DROP       all  --  *   *    0.0.0.0/0    0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in  out  source       destination         
1      519 69451 ACCEPT     all  --  *   *    10.8.0.0/24  0.0.0.0/0           
2      391  365K ACCEPT     all  --  *   *    0.0.0.0/0    0.0.0.0/0   state RELATED,ESTABLISHED
3        0     0 LOG        all  --  *   *    0.0.0.0/0    0.0.0.0/0   LOG FORWARD_denied:
4        0     0 DROP       all  --  *   *    0.0.0.0/0    0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in  out  source       destination         
1       79 14711 ACCEPT     tcp  --  *   *    0.0.0.0/0    77.22.63.17  tcp spt:22
2      255  7395 ACCEPT     all  --  *   lo   0.0.0.0/0    0.0.0.0/0           
3     1488  490K ACCEPT     all  --  *   *    0.0.0.0/0    0.0.0.0/0    state NEW,ESTABLISHED
4        0     0 LOG        all  --  *   *    0.0.0.0/0    0.0.0.0/0    LOG OUTPUT_denied:
5        0     0 DROP       all  --  *   *    0.0.0.0/0    0.0.0.0/0           

Chain f2b-opnv (1 references)
num   pkts bytes target     prot opt in  out  source       destination         
1      632  119K RETURN     all  --  *   *    0.0.0.0/0    0.0.0.0/0

Display More

Ich hoffe, dass das schon besser, zumindest aber übersichtlicher ist.

ostfriese · Feb 21st 2020

Quote from H6G

Warum müllst du dir den syslog damit zu?

Weil ich überrascht war, was da los ist. Ist nur temporär um zu sehen, ob meine Regeln funktionieren. Ich habe auf meiner Vodafone IP eine Firewall, wo praktisch nie jemand versucht, einzudringen. Aber bei einem Server in einer Serverfarm scheint das für die Bösen lohnenswerter zu sein.

Wenn ich sicher bin, das meine iptables-rules greifen, fliegt das natürlich 'raus und die default policy wird auf DROP gesetzt.

Hier mal ein Auszug einer Auswertung der denied per Script (Doppelungen schon gefiltert):

DATE/TIME Chain IP-ADDRESS

21.02.2020 20:58:30 INPUT 111.200.54.170

21.02.2020 20:58:57 INPUT 170.106.36.97

21.02.2020 20:59:02 INPUT 185.39.10.63

21.02.2020 20:59:16 INPUT 185.137.233.164

21.02.2020 20:59:21 INPUT 93.174.95.73

21.02.2020 20:59:22 INPUT 92.118.37.53

21.02.2020 20:59:24 INPUT 185.53.88.130

21.02.2020 20:59:38 INPUT 185.176.27.18

21.02.2020 20:59:54 INPUT 80.82.78.192

21.02.2020 20:59:56 INPUT 84.168.35.77

21.02.2020 21:00:12 INPUT 92.118.37.55

21.02.2020 21:00:40 INPUT 176.113.115.252

21.02.2020 21:00:41 INPUT 31.184.215.50

21.02.2020 21:00:51 INPUT 185.176.27.170

21.02.2020 21:00:52 INPUT 80.82.65.62

21.02.2020 21:00:54 INPUT 220.191.249.130

21.02.2020 21:01:36 INPUT 91.206.15.191

21.02.2020 21:01:48 INPUT 185.143.223.81

21.02.2020 21:01:58 INPUT 159.89.181.213

21.02.2020 21:02:06 INPUT 13.233.149.135

21.02.2020 21:02:16 INPUT 182.61.163.32

21.02.2020 21:02:24 INPUT 52.66.239.225

21.02.2020 21:02:47 INPUT 15.206.172.234

21.02.2020 21:02:49 INPUT 13.126.190.209

21.02.2020 21:02:50 INPUT 80.82.70.118

21.02.2020 21:03:27 INPUT 190.131.151.154

21.02.2020 21:03:39 INPUT 80.82.70.239

21.02.2020 21:04:15 INPUT 42.179.227.246

21.02.2020 21:04:19 INPUT 45.136.109.251

21.02.2020 21:05:03 INPUT 185.156.73.49

21.02.2020 21:05:11 INPUT 192.241.224.91

21.02.2020 21:05:32 INPUT 185.176.27.178

21.02.2020 21:05:37 INPUT 185.151.242.216

21.02.2020 21:05:54 INPUT 83.97.20.49

21.02.2020 21:06:32 INPUT 194.26.29.129

21.02.2020 21:07:06 INPUT 13.233.113.113

21.02.2020 21:07:17 INPUT 178.218.200.161

21.02.2020 21:07:24 INPUT 13.233.112.72

21.02.2020 21:07:29 INPUT 89.248.168.202

21.02.2020 21:07:33 INPUT 203.186.48.186

21.02.2020 21:07:52 INPUT 35.154.80.175

21.02.2020 21:08:16 INPUT 42.119.216.237

21.02.2020 21:09:07 INPUT 167.71.202.235

21.02.2020 21:09:13 INPUT 92.119.160.52

21.02.2020 21:09:56 INPUT 194.26.29.121

21.02.2020 21:10:19 INPUT 185.112.249.168

21.02.2020 21:11:04 INPUT 188.246.224.219

21.02.2020 21:11:56 INPUT 193.32.161.12

21.02.2020 21:11:57 INPUT 51.75.52.127

21.02.2020 21:12:01 INPUT 194.61.27.240

21.02.2020 21:12:02 INPUT 94.102.56.215

21.02.2020 21:12:06 INPUT 13.232.182.172

21.02.2020 21:12:17 INPUT 192.64.112.32

21.02.2020 21:12:18 INPUT 192.241.223.18

21.02.2020 21:12:23 INPUT 13.127.15.212

21.02.2020 21:12:45 INPUT 45.143.221.46

21.02.2020 21:12:48 INPUT 13.127.158.98

21.02.2020 21:13:02 INPUT 185.209.0.91

21.02.2020 21:13:26 INPUT 185.176.27.6

21.02.2020 21:14:01 INPUT 92.118.37.86

21.02.2020 21:14:42 INPUT 190.60.213.172

21.02.2020 21:14:54 INPUT 210.44.14.54

21.02.2020 21:15:40 INPUT 27.76.81.242

21.02.2020 21:15:56 INPUT 5.188.210.158

21.02.2020 21:16:44 INPUT 112.35.76.1

21.02.2020 21:17:32 INPUT 92.63.196.3

21.02.2020 21:18:05 INPUT 206.189.177.133

H6G · Feb 21st 2020

Ja, relativ normal. Da klopfen sekündlich Botnetze an und gucken nach SSH Zugängen mit Standard Credentials (root/123456).

mainziman · Feb 22nd 2020

Quote from ostfriese

alle, weil die openvpn Client über die vServer public IP weiter in's Internet sollen.

klar, ist aber dennoch Unsinn;

du erlaubst, dass auch 10.x.x.x Adressen nach innen kommen ...

Code

# Allow forwarding to internet
-A FORWARD -i tun0 -o eth0 -j ACCEPT
# Allow established, related packets back through
-A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

das ist ausreichend f. die Geschichte mit den VPN clients, die kommen am Port tun0 rein, und werden auf eth0 nach draußen weitergeleitet

f. die VPN Infrastruktur als solches noch

Code

# Enable DHCP for VPNs
-A INPUT -i tun0 -m udp -p udp --sport 67:68 --dport 67:68 -j ACCEPT
# Enable DNS for VPN
-A INPUT -i tun0 -m tcp -p tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -i tun0 -m udp -p udp --dport 53 -j ACCEPT

und

Code

# Enable TRACEroute to me from VPN
-A INPUT -i tun0 -p udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
# Pings to me with no restriction are allowed from VPN
-A INPUT -i tun0 -p icmp -j ACCEPT

den Sinn von der Regel

#ssh output nach 77.22.xx.xx
iptables -A OUTPUT -p tcp -d 77.22.xx.xx --sport 22 -j ACCEPT

musst mir erklären, vor allem wenn man diese Regel hier schon hat:

#ssh nur von 77.22.xx.xx zulassen
iptables -A INPUT -p tcp --src 77.22.xx.xx --dport 22 -j ACCEPT

ostfriese · Feb 22nd 2020

@mainziman

Wow, tausend Dank für deine Mühe und deine zielführenden Hinweise. Ich glaube ich hab's jetzt hinbekommen.

DHCP und DNS konnte ich weglassen, habe ich über ccd in openvpn geregelt. Aber guter Hinweis.

Ping und traceroute habe ich weggelassen, aber wenn ich es mal brauche, weiß ich, dank deiner Hilfe, wie es geht.

Der entscheidende Hinweis war der für das Forwarding.

Der vServer ist auch noch VPN-Client bei Perfect-Privacy (anonymes VPN). Einige openvpn-Clients werden dahin weiter geroutet.

Auch das habe ich dank deiner Hilfe (ich hoffe) sauber gelöst. Die Policies sind jetzt auf DROP und das Logging ist raus, weil jetzt alles funktioniert.

Nochmal vielen vielen Dank für deine Hilfe!!!

Jetzt ist das alles viel Übersichtlicher und sieht auch logisch aus. Ich glaube ich hab's jetzt kapiert

Ich hoffe, das passt jetzt so.

Code

#INPUT

#policy DROP
iptables -P INPUT DROP

#SSH nur von 77.22.xx.xx
iptables -I INPUT -p tcp --src 77.22.xx.xx --dport 22 -j ACCEPT

#lo nur für localhost
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i lo -j ACCEPT

#udp für openvpn
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

#ESTABLISHED,RELATED
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT


#FORWARD

#policy DROP
iptables -P FORWARD DROP

#Clients von openvpn nach Perfect Privacy (Internet) und zurück
iptables -A FORWARD -i tun0 -o tun1 -j ACCEPT
iptables -A FORWARD -i tun1 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Clients von openvpn nach eth0 vServer (Internet) und zurück
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT


#OUTPUT

#policy DROP

#Mehr muss nicht
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT

Display More

Hier das Ergebnis:

Code

~# iptables -L --line-numbers -n -v
Chain INPUT (policy DROP 70 packets, 10796 bytes)
num   pkts bytes target     prot opt in  out   source          destination         
1       14  1024 ACCEPT     tcp  --  *   *     77.22.xx.xx     0.0.0.0/0   tcp dpt:22
2      523 91106 f2b-opnv   udp  --  *   *     0.0.0.0/0       0.0.0.0/0   multiport dports 1194
3        0     0 DROP       all  --  !lo *     127.0.0.0/8     0.0.0.0/0           
4       81  2349 ACCEPT     all  --  lo  *     0.0.0.0/0       0.0.0.0/0           
5      504 88850 ACCEPT     udp  --  *   *     0.0.0.0/0       0.0.0.0/0   udp dpt:1194
6      406  107K ACCEPT     all  --  *   *     0.0.0.0/0       0.0.0.0/0   ctstate RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in   out  source         destination         
1      141 16602 ACCEPT     all  --  tun0 tun1 0.0.0.0/0      0.0.0.0/0           
2      131 60271 ACCEPT     all  --  tun1 tun0 0.0.0.0/0      0.0.0.0/0   state RELATED,ESTABLISHED
3      247 27381 ACCEPT     all  --  tun0 eth0 0.0.0.0/0      0.0.0.0/0           
4      199  195K ACCEPT     all  --  eth0 tun0 0.0.0.0/0      0.0.0.0/0   state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in   out  source         destination         
1       81  2349 ACCEPT     all  --  *    lo   0.0.0.0/0      0.0.0.0/0           
2      818  344K ACCEPT     all  --  *    *    0.0.0.0/0      0.0.0.0/0   state NEW,ESTABLISHED

Chain f2b-opnv (1 references)
num   pkts bytes target     prot opt in   out  source         destination         
1      523 91106 RETURN     all  --  *      *  0.0.0.0/0      0.0.0.0/0

Display More

mainziman · Feb 22nd 2020

da fehlt noch was bzw. ist falsch;

vor allem durch die Trennung INPUT, OUTPUT, FORWARD wirds unübersichtlich;

wo ist das OUTPUT Gegenstück zu Zeile 17?

wo ist das INPUT Gegenstück zu Zeile 40? bzw. ist Zeile 40 ohnehin Fehl am Platz

ebenfalls bei den INPUT und OUTPUT Regeln gehören die entsprechenden Ports dazu

z.B. bei INPUT -i eth0

bzw. bei OUTPUT -o eth0

ostfriese · Feb 22nd 2020

Ok, danke. Ich schau mir das Mal an.

ostfriese · Feb 22nd 2020

So, jetzt aber:

Code

# Set policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Allow anything on the local link
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Enable VPN
iptables -A INPUT -i eth0 -m udp -p udp --dport 1194 -j ACCEPT

# Allow anything out on the internet
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow forwarding to internet and back
iptables -A FORWARD -i tun0 -o tun1 -j ACCEPT
iptables -A FORWARD -i tun1 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable SSH (private)
iptables -I INPUT -i eth0 -s 77.22.xx.xx -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT

Display More

Das PREROUTIG und POSTROUTING wird durch ein Python Skript erledigt(sieht kompliziert aus ist es aber nicht. Das Skript von dem VPN-Client ausgeführt, der sich mit Perfect Privacy verbindet. Hier zur Info der Output.

Code

Sat Feb 22 16:33:38 2020 us=784748 /sbin/ip addr add dev tun1 10.0.179.243/24 broadcast 10.0.179.255
Sat Feb 22 16:33:38 2020 us=787704 /etc/openvpn/scripts/neu.py tun1 1500 1609 10.0.179.243 255.255.255.0 init
######################################################## Script ######################################
Pruefe ip_forward_state
ip_forward_state ist bereits aktiviert

Setze Akzeptanz von tun1 auf 2:
/sbin/sysctl -w net.ipv4.conf.tun1.rp_filter=2  > /dev/null 2>&1

Deaktiviere POSTROUTING
iptables -t nat -D POSTROUTING 1 > /dev/null 2>&1

Erstelle Tables in /etc/iproute2/rt_tables:
10 router
20 vpn

Setze default Route:
ip route add default via 94.16.xxx.1 dev eth0 table router
ip route add default via 10.0.179.243 dev tun1 table vpn

Erstelle Regel:
ip rule add from all fwmark 10 lookup router
ip rule add from all fwmark 20 lookup vpn

Ermittle Netzwerk:
Home client : raspberrypi
Home Network: 172.16.0.0 255.255.255.0

Erstelle homeclient ccd
Client: raspberrypi   10.8.0.50
Client: raspberrypi   ccd erstellt

Erstelle client ccd
Client: ThinkPad      10.8.0.3
Client: ThinkPad      ccd erstellt. Zugriff auf green.
Client: pixel2        10.8.0.4
Client: pixel2        ccd erstellt. Zugriff auf green.
Client: ThinkPad2     10.8.0.5
Client: ThinkPad2     ccd erstellt. Zugriff auf green.
Client: ipfire        10.8.0.6
Client: ipfire        ccd erstellt. Zugriff auf green.
Client: pixel         10.8.0.7
Client: pixel         ccd erstellt. Zugriff auf green.

Erstelle iptables     PREROUTING
iptables -t mangle -A PREROUTING  -s 10.8.0.3 -j MARK --set-mark 20    #ThinkPad               to vpn
iptables -t mangle -A PREROUTING  -s 10.8.0.4 -j MARK --set-mark 10    #pixel2                 to red
iptables -t mangle -A PREROUTING  -s 10.8.0.5 -j MARK --set-mark 10    #ThinkPad2              to red
iptables -t mangle -A PREROUTING  -s 10.8.0.6 -j MARK --set-mark 10    #ipfire                 to red
iptables -t mangle -A PREROUTING  -s 10.8.0.7 -j MARK --set-mark 20    #pixel                  to vpn

Erstelle iptables     POSTROUTING
iptables -t nat    -A POSTROUTING --match mark --mark 10 -j SNAT --to 94.16.xxx.xxx
iptables -t nat    -A POSTROUTING --match mark --mark 20 -j SNAT --to 10.0.179.243
###################################################### Script Ende ###################################
Sat Feb 22 16:33:40 2020 us=880799 Initialization Sequence Completed

Display More

Tags