Sicherheit Durch Iptables

    hey leute


    Seit neustem nutze ich "iptables persistent".
    Leider habe ich damit so meine probleme (VIELLEICHT KENNT JEMAND EINE GUTE ANLEITUNG)
    Bis jetzt habe ich noch keine regel eingetragen und beime rules.v4 sieht so aus

    Code
    *filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT




    Frag mich schon die ganze zeit für was die [0:0] steht


    vielleicht kann mir jemand sagen ob ich bis jetzt richtig bin


    Code
    :INPUT DROP [0:0]:FORWARD DROP [0:0]:OUTPUT DROP [0:0]#Loopback-A INPUT -i lo -j ACCEPT-A OUTPUT -o lo -j ACCEPT#SESSION-A INPUT -p tcp ! --syn -m state --state NEW -s 0.0.0.0/0 -j DROP-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT#tcp-I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT-A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT



    mfg stefan

    Hi Stefan,


    die Datei rules.v4 editiert man grundsätzlich nicht per Hand sondern sie wird automatisch erstellt.


    Du stellst erst mal nur per iptables Kommando alle Filter ein, die Du haben willst, wenn Du Dir sicher bist, dass alles gut ist gibst Du



    Code
    iptables-save > /etc/iptables/rules.v4



    ein, dann werden die gegenwärtigen iptables in die Datei rules.v4 übernommen, wodurch sie dann beim neu booten so eingestellt bleiben.


    Das vorherige Einstellen übers iptables Kommando hat auch den große Vorteil, dass falls Du Dich beim Rumspielen selber aussperrst, kannst Du den Vserver immer noch neu starten und dann sind die fehlerhaften iptables wieder gelöscht. Wenn sie erstmal in der rules.v4 drin stehen und da Müll drin steht, weil du es per Hand editiert hast, ist das nicht so spaßig...


    Alles Gute
    Oliver

    naja vor dem aussperren hab ich eigentlich keine angst - gibt ja die web konsole.
    Vorhin hatte ich auch mal einen syntax fehler drin, worauf die regeln garnicht geladen wurden.
    Aber grundsätzlich ist es kein problem in datei zu schreiben oder?



    würde mich immernoch interessieren woher das "[0:0]" kommt



    mfg

    Hallo Stefan,


    nein ein Problem ist es nicht, aber einfacher ist es sich ein bash Script zu schreiben, das einem die iptables anlegt und sie dann mit dem erwähnten iptables-save in die rules.v4 zu schreiben. Wenn man die iptables ändern, editiert man das bash Skript, führt es aus und wenn alle Einträge stimmen speichert mans in rules.v4


    Die [0:0] hat wohl keine tiefere Bedeutung, bei mir stehen da bunt gemischte Zahlen drin, die nicht zu Ports oder anderen Dingen passen


    [11:719]
    [1:140]
    [0:0]
    [143:9012]
    [12:1216]


    Habe leider keine Ahnung, wozu die gut sind.


    Alles Gute
    Oliver