iptables Konfigurations-Check

  • Hi Ihr,
    da ich ja jetzt einen KVM Server habe und diesen über iptables absichern muss/soll/kann wollte ich euch kurz meine iptables-Config zur Überprüfung zeigen da das Thema noch relativ neu für mich ist. Belesen habe ich mich schon reichlich und der Generator unter IPTables - Tobias Bauer erstellt ja schon etwas ganz passables, aber ich dachte mir dass es etwas gestaucht werden könnte.


    Was meint ihr? Beim ICMP bin ich mir noch unsicher und auch, ob die Verbindungen bei Fehlschlag ge"DROP"ed oder REJECTed werden sollten:



  • Bei REJECT bekommt der, der die Verbindung aufbauen möchte, noch eine kleine meldung, dass seine Verbindung abgewiesen wurde. Bei DROP wirds eiskalt "gedropped".
    Ansonsten siehts ganz okay aus. Falls du dir bei mir etwas "abgucken" möchtest, kannst du das hier tun: webshelf file explorer @ files.ray-works.de
    Es gibt 2 Scripts. Eins für IPv4 und eins für IPv6. Viel Spaß noch mit ip(6)tables :)

  • Ich denke, dass das hier ins Thema passt. Ich bin auch am Neuschreiben vom iptables und bin soeben deinem Link ( RayMD) zum dem Beispielskript "iptables4" gefolgt.
    Gibt es eine Auflistung aller Ports, die bei

    Code
    # TCP & UDP Ports for incoming traffic
    INTCPPORTS=""
    INUDPPORTS=""
    
    
    
    
    # TCP & UDP Ports for outgoing traffic
    OUTTCPPORTS=""
    OUTUDPPORTS=""


    eingetragen werden müssen, wenn man das NetCup-Image von Debian Squeeze mit Froxlor verwendet? Ich habe vergeblich versucht mittels Befehl "netstat" die Infos zu erhalten.


    Also bis auf das Deaktivieren von bind9 und dem SSH-Port habe ich beim Neuaufsetzen nichts geändert. Wäre übrigens super, wenn mit dem Angebot der Images auch ein gefülltes iptable-Beispiel angehängt wird. Zumal wenn man das System nicht vollständig alleine aufsetzt, muss man sich das immer mühsam zusammen suchen.


    Anpassungen solcher Skripte kann man das ja immer noch durchführen. Ich habe selbst noch Anpassung, die ich dann einpflegen möchte aber so kleinkariert (wie ich jetzt iptables gerne hätte) habe ich die noch nie eingestellt gehabt.