IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme

IPTables: Sperren aller ausgehenden Verbindungen m. Ausnahme (16 Beiträge, 669 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Guten Morgen,

ich hab da ein Problem. Ich möchte über iptables alle ausgehenden Verbindungen sperren, bis auf ein paar Ausnahmen. Dazu habe ich folgendes Script:

iptables -A OUTPUT --protocol tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol udp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol tcp -d 65.xxx.xxx.xxx --dport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P OUTPUT DROP

Im Moment sperre ich mich aber vollends aus, sprich nur die DROP Regel fährt schlussendlich rein. Gibt es einen Tipp von euch, wie ich es anstelle, dass ich Ausnahme anlege, über die ausgehender Traffic gehen kann?

zuerst der DROP dann die gewünschten Ports aufmachen.
oder bessere skripte verwenden wie zb "firehol" oder "arnofirewall"

echt? dachte, dass es genau umgekehrt sein müsste. Dh. so sollte es dann funzen?

iptables -P OUTPUT DROP
iptables -A OUTPUT --protocol tcp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol udp --dport 53 -j ACCEPT
iptables -A OUTPUT --protocol tcp -d 65.xxx.xxx.xxx --dport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp -m state --state ESTABLISHED -j ACCEPT

Nein, kann ja auch net sein, weil ich mich doch gleich aussperre mit dem ersten Drop. Müsste ich dann wohl vor dem Drop noch die SSH Verbindung offen lassen mit:

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

oder?

19.12.2013, 07:22 Uhr - Editiert von groti67, alte Version: hier

vergleich mal:
https://www.tobias-bauer.de/iptables.html
http://www.perturb.org/content/iptables-rules.html

si tacuisses, philosophus mansisses

Da kaufe ich gerne: Peluga, Academia, Tonershop, nc-Shop, NRE, 1ashop,

e-tec

Links: http://unicef.at/shopforlife.html und http://vienna.mybikelane.com

besten Dank für den Hinweis und die Links. Leider bin ich ein ziemlicher Noob und komm da leicht ins Schmeißen

Hab mir jetzt über den Bauerschen Link ein Script gebastelt, welches hinkommen müsste, bin aber zu doof dieses zu starten:

habs ins verz. /etc/init.d gegeben und will es mit "etc/init.d/firewall start" zum Laufen bringen.
Error: /bin/sh^M: bad interpreter: No such file or directory

Das Skript habe ich mit Pluma erzeugt, dh. an den Zeilenumbrüchen (Win/Linux) sollte es nicht liegen.

#!/bin/sh

#####################################################

# IPTables Firewall-Skript                          #

#                                                   #

# erzeugt mit dem IPTables-Skript-Generator auf     #

#      tobias-bauer.de - Version 0.4                #

# URL: http://www.tobias-bauer.de/iptables.html      #

#                                                   #

# Autor: Tobias Bauer                               #

# E-Mail: exarkun@ist-root.org                      #

#                                                   #

# Das erzeugte Skript steht unter der GNU GPL!      #

#                                                   #

# ACHTUNG! Die Benutzung des Skriptes erfolgt auf   #

# eigene Gefahr! Ich übernehme keinerlei Haftung    #

# für Schäden die durch dieses Skript entstehen!    #

#                                                   #

#####################################################

# iptables suchen

iptables=`which iptables`

# wenn iptables nicht installiert abbrechen

test -f $iptables || exit 0

case "$1" in

   start)

      echo "Starte Firewall..."

      # alle Regeln löschen

      $iptables -t nat -F

      $iptables -t filter -F

      $iptables -X

      # neue Regeln erzeugen

      $iptables -N garbage

      $iptables -I garbage -p TCP -j LOG --log-prefix="DROP TCP-Packet: " --log-level err

      $iptables -I garbage -p UDP -j LOG --log-prefix="DROP UDP-Packet: " --log-level err

      $iptables -I garbage -p ICMP -j LOG --log-prefix="DROP ICMP-Packet: " --log-level err

      # Default Policy

      $iptables -P INPUT DROP

      $iptables -P OUTPUT DROP

      $iptables -P FORWARD DROP

      # über Loopback alles erlauben

      $iptables -I INPUT -i lo -j ACCEPT

      $iptables -I OUTPUT -o lo -j ACCEPT

      #####################################################

      # ausgehende Verbindungen

      # Port 22

      $iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

      $iptables -I INPUT -i eth0 -p TCP --sport 22 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

      #####################################################

      # eingehende Verbindungen

      # Port 22

      $iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

      $iptables -I OUTPUT -o eth0 -p TCP --sport 22 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

      # Port 80

      $iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

      $iptables -I OUTPUT -o eth0 -p TCP --sport 80 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

      #####################################################

      # Erweiterte Sicherheitsfunktionen

      # SynFlood

      $iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

      # PortScan

      $iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

      # Ping-of-Death

      $iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

      #####################################################

      # bestehende Verbindungen akzeptieren

      $iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      #####################################################

      # Garbage übergeben wenn nicht erlaubt

      $iptables -A INPUT -m state --state NEW,INVALID -j garbage

      #####################################################

      # alles verbieten was bisher erlaubt war

      $iptables -A INPUT -j garbage

      $iptables -A OUTPUT -j garbage

      $iptables -A FORWARD -j garbage

      ;;

   stop)

      echo "Stoppe Firewall..."

      $iptables -t nat -F

      $iptables -t filter -F

      $iptables -X

      $iptables -P INPUT ACCEPT

      $iptables -P OUTPUT ACCEPT

      $iptables -P FORWARD ACCEPT

      ;;

   restart|reload|force-reload)

   $0 stop

   $0 start

      ;;

   *)

      echo "Usage: /etc/init.d/firewall (start|stop)"

      exit 1

      ;;

esac

exit 0

Ich hätte das so verstanden, daß das vom Bauer ein Shellscript erzeug, welches du auf der Kommandozeile startest. also nicht direkt eintragen

alles in ein file schreiben. zb firewall.sh
dann sh firewall.sh start

si tacuisses, philosophus mansisses

Da kaufe ich gerne: Peluga, Academia, Tonershop, nc-Shop, NRE, 1ashop,

e-tec

Links: http://unicef.at/shopforlife.html und http://vienna.mybikelane.com

19.12.2013, 09:19 Uhr - Editiert von j., alte Version: hier

hmmm... da bin ich jetzt nur bedingt weitergekommen, denn nun gibts :

: command not found:
: command not found0:
: command not found3:
: numeric argument required 0

er startet nun zwar das skript, macht damit aber noch nix :/

ok, bevor wir da jetzt das zerlegen und einzeln probieren um den Fehler zu inden wär ich auch dafür, daß du mal eine GUI/scripts benutzt so wie von tuxtux vorgeschlagen.

si tacuisses, philosophus mansisses

Da kaufe ich gerne: Peluga, Academia, Tonershop, nc-Shop, NRE, 1ashop,

e-tec

Links: http://unicef.at/shopforlife.html und http://vienna.mybikelane.com

19.12.2013, 09:30 Uhr - Editiert von j., alte Version: hier

Hast du NUR diese Regeln oder hat INPUT auch DROP als policy? Diese Zeile:

iptables -A OUTPUT --protocol tcp -m state --state ESTABLISHED -j ACCEPT

sollte eigentlich alle Pakete erlauben, die remote aufgebaut worden sind. Sollte also stimmen. Wie sehen deine Regeln für die INPUT-chain aus?

ich hätte nur diese Regeln.
Also keine Input-Regel vorhanden.

Diese Regel bringt ihm gar nichts. Die verhindert nur, dass gerade offene Verbindungen sofort gekappt werden. Ohne ein RELATED kann es nie zu einem TCP Handshake kommen. Daher isat kein von aussen initiierte Verbindungsaufmau erlaubt.

Zudem erscheint mir ein Szenario, wo von Aussen jeder darf, von Innen aber nur DNS und ein spezieller Webserver erreichbar sein soll, eher ungewöhnlich.

Ich tippe daher darauf, dass der Threadersteller nicht wirklich das will, was er schreibt.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.
Alle Kinder sind unsere Kinder! - Petition zum "jus solis" im Staatsbürgerschaftsrecht
Let me vote! - Europäische Bürgerinitiative für volles Wahlrecht für alle EU-Bürger

Was meinst du mit aussperren?

Diese Maschine darf nur auf DNS antworten. Sowie einen einzigen Webserver abfragen.

Wenn du was anderes wolltest, sind deine Regeln falsch.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.
Alle Kinder sind unsere Kinder! - Petition zum "jus solis" im Staatsbürgerschaftsrecht
Let me vote! - Europäische Bürgerinitiative für volles Wahlrecht für alle EU-Bürger

was mir erst passiert ist, ist das ich das lokale interface nicht berücksichtigt habe. wenn du also irgendwelche services lokal laufen hast, die untereinander ueber ip kommunizieren, blockst du diese so auch.
probier mal die rule "iptables -o lo -j ACCEPT" aufzunehmen, und schau ob dann alles funkt was du so willst.

ansonsten koenntest du noch mit wireshark schauen, was so nicht geht oder mit der iptables rule LOG ins syslog einzelene rules loggen.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung