IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

Re: IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

*patrick star* — Sat, 28 Dec 2013 07:29:38 GMT

was mir erst passiert ist, ist das ich das lokale interface nicht berücksichtigt habe. wenn du also irgendwelche services lokal laufen hast, die untereinander ueber ip kommunizieren, blockst du diese so auch.
probier mal die rule "iptables -o lo -j ACCEPT" aufzunehmen, und schau ob dann alles funkt was du so willst.

ansonsten koenntest du noch mit wireshark schauen, was so nicht geht oder mit der iptables rule LOG ins syslog einzelene rules loggen.

Re(2): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

MG — Fri, 20 Dec 2013 22:54:59 GMT

Diese Regel bringt ihm gar nichts. Die verhindert nur, dass gerade offene Verbindungen sofort gekappt werden. Ohne ein RELATED kann es nie zu einem TCP Handshake kommen. Daher isat kein von aussen initiierte Verbindungsaufmau erlaubt.

Zudem erscheint mir ein Szenario, wo von Aussen jeder darf, von Innen aber nur DNS und ein spezieller Webserver erreichbar sein soll, eher ungewöhnlich.

Ich tippe daher darauf, dass der Threadersteller nicht wirklich das will, was er schreibt.

Re: IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

MG — Fri, 20 Dec 2013 22:48:42 GMT

Was meinst du mit aussperren?

Diese Maschine darf nur auf DNS antworten. Sowie einen einzigen Webserver abfragen.

Wenn du was anderes wolltest, sind deine Regeln falsch.

Re(2): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

groti67 — Thu, 19 Dec 2013 15:32:24 GMT

ich hätte nur diese Regeln.
Also keine Input-Regel vorhanden.

Re: IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

morghus — Thu, 19 Dec 2013 14:17:58 GMT

Hast du NUR diese Regeln oder hat INPUT auch DROP als policy? Diese Zeile:

iptables -A OUTPUT --protocol tcp -m state --state ESTABLISHED -j ACCEPT

sollte eigentlich alle Pakete erlauben, die remote aufgebaut worden sind. Sollte also stimmen. Wie sehen deine Regeln für die INPUT-chain aus?

Re(5): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

j. — Thu, 19 Dec 2013 08:29:17 GMT

ok, bevor wir da jetzt das zerlegen und einzeln probieren um den Fehler zu inden wär ich auch dafür, daß du mal eine GUI benutzt so wie von tuxtux vorgeschlagen.

Re(5): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

j. — Thu, 19 Dec 2013 08:29:17 GMT

ok, bevor wir da jetzt das zerlegen und einzeln probieren um den Fehler zu inden wär ich auch dafür, daß du mal eine GUI/scripts benutzt so wie von tuxtux vorgeschlagen.

Re(4): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

groti67 — Thu, 19 Dec 2013 08:22:49 GMT

hmmm... da bin ich jetzt nur bedingt weitergekommen, denn nun gibts :

: command not found:
: command not found0:
: command not found3:
: numeric argument required 0

er startet nun zwar das skript, macht damit aber noch nix :/

Re(3): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

j. — Thu, 19 Dec 2013 08:15:12 GMT

Ich hätte das so verstanden, daß das vom Bauer ein Shellscript erzeug, welches du auf der Kommandozeile startest. also nicht direkt eintragen

alles in ein file schreiben. zb firewall.sh
dann sh firewall.sh start

Re(3): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

j. — Thu, 19 Dec 2013 08:15:12 GMT

Ich hätte das so verstanden, daß das vom Bauer ein Shellscript erzeug, welches du auf der Kommandozeile startest. also nicht direkt eintragen

Re(2): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

groti67 — Thu, 19 Dec 2013 08:03:58 GMT

besten Dank für den Hinweis und die Links. Leider bin ich ein ziemlicher Noob und komm da leicht ins Schmeißen

Hab mir jetzt über den Bauerschen Link ein Script gebastelt, welches hinkommen müsste, bin aber zu doof dieses zu starten:

habs ins verz. /etc/init.d gegeben und will es mit "etc/init.d/firewall start" zum Laufen bringen.
Error: /bin/sh^M: bad interpreter: No such file or directory

Das Skript habe ich mit Pluma erzeugt, dh. an den Zeilenumbrüchen (Win/Linux) sollte es nicht liegen.

#!/bin/sh

#####################################################

# IPTables Firewall-Skript                          #

#                                                   #

# erzeugt mit dem IPTables-Skript-Generator auf     #

#      tobias-bauer.de - Version 0.4                #

# URL: http://www.tobias-bauer.de/iptables.html      #

#                                                   #

# Autor: Tobias Bauer                               #

# E-Mail: exarkun@ist-root.org                      #

#                                                   #

# Das erzeugte Skript steht unter der GNU GPL!      #

#                                                   #

# ACHTUNG! Die Benutzung des Skriptes erfolgt auf   #

# eigene Gefahr! Ich übernehme keinerlei Haftung    #

# für Schäden die durch dieses Skript entstehen!    #

#                                                   #

#####################################################

# iptables suchen

iptables=`which iptables`

# wenn iptables nicht installiert abbrechen

test -f $iptables || exit 0

case "$1" in

   start)

      echo "Starte Firewall..."

      # alle Regeln löschen

      $iptables -t nat -F

      $iptables -t filter -F

      $iptables -X

      # neue Regeln erzeugen

      $iptables -N garbage

      $iptables -I garbage -p TCP -j LOG --log-prefix="DROP TCP-Packet: " --log-level err

      $iptables -I garbage -p UDP -j LOG --log-prefix="DROP UDP-Packet: " --log-level err

      $iptables -I garbage -p ICMP -j LOG --log-prefix="DROP ICMP-Packet: " --log-level err

      # Default Policy

      $iptables -P INPUT DROP

      $iptables -P OUTPUT DROP

      $iptables -P FORWARD DROP

      # über Loopback alles erlauben

      $iptables -I INPUT -i lo -j ACCEPT

      $iptables -I OUTPUT -o lo -j ACCEPT

      #####################################################

      # ausgehende Verbindungen

      # Port 22

      $iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

      $iptables -I INPUT -i eth0 -p TCP --sport 22 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

      #####################################################

      # eingehende Verbindungen

      # Port 22

      $iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

      $iptables -I OUTPUT -o eth0 -p TCP --sport 22 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

      # Port 80

      $iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

      $iptables -I OUTPUT -o eth0 -p TCP --sport 80 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

      #####################################################

      # Erweiterte Sicherheitsfunktionen

      # SynFlood

      $iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

      # PortScan

      $iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

      # Ping-of-Death

      $iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

      #####################################################

      # bestehende Verbindungen akzeptieren

      $iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      #####################################################

      # Garbage übergeben wenn nicht erlaubt

      $iptables -A INPUT -m state --state NEW,INVALID -j garbage

      #####################################################

      # alles verbieten was bisher erlaubt war

      $iptables -A INPUT -j garbage

      $iptables -A OUTPUT -j garbage

      $iptables -A FORWARD -j garbage

      ;;

   stop)

      echo "Stoppe Firewall..."

      $iptables -t nat -F

      $iptables -t filter -F

      $iptables -X

      $iptables -P INPUT ACCEPT

      $iptables -P OUTPUT ACCEPT

      $iptables -P FORWARD ACCEPT

      ;;

   restart|reload|force-reload)

   $0 stop

   $0 start

      ;;

   *)

      echo "Usage: /etc/init.d/firewall (start|stop)"

      exit 1

      ;;

esac

exit 0

Re: IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

j. — Thu, 19 Dec 2013 07:03:02 GMT

vergleich mal:
https://www.tobias-bauer.de/iptables.html
http://www.perturb.org/content/iptables-rules.html

Re(2): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

groti67 — Thu, 19 Dec 2013 06:22:28 GMT

echt? dachte, dass es genau umgekehrt sein müsste. Dh. so sollte es dann funzen?

iptables -P OUTPUT DROP
iptables -A OUTPUT --protocol tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol udp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol tcp -d 65.xxx.xxx.xxx --dport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp -m state --state ESTABLISHED -j ACCEPT

Nein, kann ja auch net sein, weil ich mich doch gleich aussperre mit dem ersten Drop. Müsste ich dann wohl vor dem Drop noch die SSH Verbindung offen lassen mit:

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Re(2): IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

groti67 — Thu, 19 Dec 2013 06:22:28 GMT

Re: IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

TuxTux — Thu, 19 Dec 2013 06:15:35 GMT

zuerst der DROP dann die gewünschten Ports aufmachen.
oder bessere skripte verwenden wie zb "firehol" oder "arnofirewall"

IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

groti67 — Thu, 19 Dec 2013 06:00:57 GMT

Guten Morgen,

ich hab da ein Problem. Ich möchte über iptables alle ausgehenden Verbindungen sperren, bis auf ein paar Ausnahmen. Dazu habe ich folgendes Script:

iptables -A OUTPUT --protocol tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol udp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol tcp -d 65.xxx.xxx.xxx --dport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P OUTPUT DROP

Im Moment sperre ich mich aber vollends aus, sprich nur die DROP Regel fährt schlussendlich rein. Gibt es einen Tipp von euch, wie ich es anstelle, dass ich Ausnahme anlege, über die ausgehender Traffic gehen kann?