Ich habe es nach der Anleitung gemacht und es funktioniert hervorragen.
Dumm nur, dass heute schon wieder eine abuse-Meldung eintraf Ich denke, dass Problem ist, dass der Dienst zwar nicht mehr korrekt 'funktioniert', der Scan vom BSI aber alleine auf open/closed/filtered testet. Und open wird anscheinend immer angemahnt. Dann muss also leider doch die iptables-Keule raus. Also her damit:
Aktuellen Status von außen mit nmap testen:
Code
# nmap --top-ports 20 meine-domain.de
Starting Nmap 6.47 ( http://nmap.org ) at 2017-05-19 17:47 CEST
Nmap scan report for meine-domain.de (aaa.bbb.ccc.ddd)
Host is up (0.000012s latency).
rDNS record for aaa.bbb.ccc.ddd: krassenummer.doofesgmx.net
PORT STATE SERVICE
21/tcp closed ftp
22/tcp closed ssh
23/tcp closed telnet
25/tcp open smtp
53/tcp closed domain
80/tcp open http
110/tcp closed pop3
111/tcp open rpcbind
135/tcp closed msrpc
139/tcp closed netbios-ssn
143/tcp closed imap
443/tcp open https
445/tcp closed microsoft-ds
993/tcp closed imaps
995/tcp closed pop3s
1723/tcp closed pptp
3306/tcp closed mysql
3389/tcp closed ms-wbt-server
5900/tcp closed vnc
8080/tcp open http-proxy
Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds
Alles anzeigen
Nun fügen wir ein paar iptables Regeln hinzu, nämlich:
- UDP Pakete auf Port 111 kommentarlos ignorieren
- Lokale TCP-Pakete auf Port 111 verarbeiten
- TCP-Pakete auf Port 111 die nicht von unserer eigenen IP kommen kommentarlos ignorieren
Bash
iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p tcp ! -s aaa.bbb.ccc.ddd --dport 111 -j DROP
Das Ergebnis der Bemühungen:
Bash
# nmap --top-ports 20 meine-domain.de
Starting Nmap 6.47 ( http://nmap.org ) at 2017-05-19 18:17 CEST
Nmap scan report for meine-domain.de (aaa.bbb.ccc.ddd)
Host is up (0.000012s latency).
rDNS record for aaa.bbb.ccc.ddd: krassenummer.doofesgmx.net
PORT STATE SERVICE
21/tcp closed ftp
22/tcp closed ssh
23/tcp closed telnet
25/tcp open smtp
53/tcp closed domain
80/tcp open http
110/tcp closed pop3
111/tcp filtered rpcbind
135/tcp closed msrpc
139/tcp closed netbios-ssn
143/tcp closed imap
443/tcp open https
445/tcp closed microsoft-ds
993/tcp closed imaps
995/tcp closed pop3s
1723/tcp closed pptp
3306/tcp closed mysql
3389/tcp closed ms-wbt-server
5900/tcp closed vnc
8080/tcp open http-proxy
Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds
Alles anzeigen
Quelle: https://www.cyberciti.biz/faq/…th-iptables-tcp-wrappers/
Hier noch ein paar Fragen die sich der eine oder andere Stellen mag:
- Soll ich trotzdem hosts.allow bearbeiten?
- Unbedingt! Wie im debian-Link meines ersten Postings angegeben, sollte eine firewall-Regel nur die erste Linie der Verteidigung sein. Falls diese Barriere aus irgendeinem Grund ausfällt, steht man mit heruntergelassenen Hosen da
- Im Link ist eine andere iptables-Syntax für die Ausnahme-IP angegeben, welche ist korrekt?
- MEINE! Nein, im Ernst: Der Befehl aus dem Link scheint fehlerhaft zu sein. Das Ausrufezeichen muss vor die betreffende Regel. So wird es auch bei iptables -h angezeigt. Falls Ihr ein komplettes Netz 'freischalten' wollt, könnt Ihr natürlich auch gerne die verwendete CIDR-Notation verwenden.