Alle Regeln sind mit State New, Established, Related erstellt. Trotzdem tauchen auch jetzt noch, nach fast 48 Stunden immer wieder diese IP-Adressen auf dem Server auf. Und wie geschrieben, wenn ich testweise ein Regel für das Netz von meinem Provider erstelle, greift diese sofort nach Aktivierung, selbst wenn ich mich kurz vorher auf dem vServer angemeldet habe und die Verbindung demzufolge noch offen ist. Und ich kontrolliere auch immer mal wieder mit netstat, welche Verbindungen offen sind. Aktuell 18:30 z.B.:
tcp 0 0 localhost.localdo:10011 localhost.localdo:44329 ESTABLISHED
tcp 0 52 v2201110103146458.y:ssh p57ABDA38.dip.t-di:7662 ESTABLISHED
tcp 0 0 v2201110103146458.y:www 199.15.234.159:50259 TIME_WAIT
Das ist natürlich nicht die komplette Liste, nur der relevante Teil. Es sind also lediglich 2 Verbindungen von/nach außerhalb da. Eine ist meine SSH Verbindung zum Server und die andere von 199.15.234.159 auf den Webserver.
Jetzt, 18:38 sieht das ganze so aus:
tcp 0 0 v2201110103146458.y:www 199.15.234.60:57903 TIME_WAIT
tcp 0 0 localhost.localdo:10011 localhost.localdo:44329 ESTABLISHED
tcp 0 0 v2201110103146458.y:ssh p57ABDA38.dip.t-di:7662 ESTABLISHED
tcp 0 0 v2201110103146458.y:www 95-25-190-29.broa:58849 TIME_WAIT
tcp 0 0 v2201110103146458.y:www 95-25-190-29.broa:58856 TIME_WAIT
Die WWW-Verbindung von 199.15.236.60 und meine SSH Verbindung sind nach wie vor vorhanden, aber jetzt sind noch 2 WWW Verbindungen von 95.25.190.29 hinzugekommen.
Für dieses Netz habe ich bereits eine Regel (Nr 47) definiert: INPUT, Quell-IP: 95.24.0.0/14, Quell-Port: any, Protokoll any, Ziel-IP: 46.38.235.xx, Ziel Port: any, Zusatz State NEW,ESTABLISHED,RELATED, DROP. Dass heißt, der IP Bereich von 95.24.0.0 bis 95.27.255.255 müßte mit dieser Regel gesperrt sein und diese Verbindung hätte niemals zustande kommen dürfen, zumindest wenn ich es von innerhalb des vServers betrachte.
Und ehe jemand fragt, ob es noch andere IP Adressen gibt unter denen der Server erreichbar ist, nein gibt es nicht. Ifconfig zeigt nur eth0 und lo als Schnittstellen. Und für eth0 sieht die Ausgabe so aus:
eth0 Link encap:Ethernet HWaddr 00:26:b9:89:27:6d
inet addr:46.38.235.xx Bcast:46.38.239.255 Mask:255.255.248.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:6479178223 errors:0 dropped:0 overruns:0 frame:0
TX packets:9428141500 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000
RX bytes:1869983070235 (1.7 TiB) TX bytes:5176936380702 (4.7 TiB)
Interrupt:36 Memory:d6000000-d6012800
Wenn ich es richtig verstanden habe, läuft die Firewall außerhalb des vServers und wie es da mit dem Verbindungsstatus aussieht, kann ich nicht kontrollieren.
Ich sehe nur, dass die Regel nicht greift.