Rootserver | Opferlamm-Clan Board

Kelli

Zitat:

Original von Deichgraf
Nirgendwo, in keiner Liste der Firewall taucht der gestartete Dienst auf,
nirgendwo kann man der Firewall sagen: "Nimm den Dienst Teamspeak,
und lass ihn seine Arbeit tun"

Hehe, das ist ja auch für Männer, kein Klickibunti Symashit Schlangenöl.
Ich gehe mit das gerade bei SUSE die Firewallscripte extrem! unübersichtlich sind weil der default da allen möglichen Quatsch loggt und Ausnahmen hier macht und Ausnahmen da macht. Es ist jetzt schwierig dir so einen Tip zu geben.

Zitat:

Original von Deichgraf
Gerade gefunden: reicht da 0/0 oder muss dort 0.0.0.0/0 eingegeben werden, damit er alle Verbindungen erlaubt?

Wenn du alles erlauben willst tuts ein

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4: 5: 6: 7:	iptables -F iptables -X iptables -t filter -P INPUT ACCEPT iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD ACCEPT

Vom Prinzip lebt man damit genauso sicher wenn man alle Dienste die laufen beim Namen kennt. Aber ich habe nicht den Eindruck das dies bei dir der Fall ist grosses Grinsen

Zum testen willst du vielleicht eine Handvoll einfache Regeln benutzen:
Erstmal das alte weg damit ein definierter Zustand hergestellt ist (alles erlaubt)

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4: 5: 6: 7:	iptables -F iptables -X iptables -t filter -P INPUT ACCEPT iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD REJECT

Eine neue Regel - nur für dich

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4:	iptables --new-chain EINGANG iptables -A INPUT -j EINGANG

Jetzt gehts los. Folgende Zeilen sind für SSH FTP, Mail. Achtung! Aussperrgefahr!

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:

1:
2:
3:
4:
5:
6:

iptables -A EINGANG -i lo -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 20:21 -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 25 -j ACCEPT

// folgende Zeile die IP deines DNS Servers eintragen

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3:	iptables -A EINGANG -s 62.80.124.70 -p udp -m udp --sport 53 -j ACCEPT

// Für Webmin PORT Anpassen!

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4:	iptables -A EINGANG -p tcp -m tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -A EINGANG -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

// Für Teamspeak

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4:	iptables -A EINGANG -p udp -m udp --dport 8767 -j ACCEPT iptables -A EINGANG -p tcp -m tcp --dport 14534 -j ACCEPT

// Für CoD Server auf Port 28960

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3:	iptables -A EINGANG -p udp -m udp --dport 28960 -j ACCEPT

// ZULETZT! Alles was bis jetzt nicht unter erlaubt aufgeführt wurde kommt kommentarlos weg. Nein kein "12 Bedrohungen abgewehrt" Popupfenster, kein "Sie sind vor Hackern geschützt!!!!elf" Banner. Einfach nur weg damit....

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4:	iptables -A EINGANG -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable iptables -A EINGANG -p udp -m udp -j REJECT --reject-with icmp-port-unreachable

Alle ankommenden Pakete werden auf die Regel Eingang verwiesen. Diese Regel wird jetzt von oben nach unten abgearbeitet. Also:
- ist das ankommende Paket von der Loopback?
- ist das ankommende Paket für Port 22 (ssh)?
- ist das ankommende Paket für Port 25 (mail)?
...
- ist das ankommende Paket für Port 8767 (TS)?
...
ist das Paket ganz unten angekommen wird es weggeworfen:

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3: 4:	iptables -A EINGANG -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable iptables -A EINGANG -p udp -m udp -j REJECT --reject-with icmp-port-unreachable

Willst du jetzt eine neue Regel hinzufügen musst du erstmal entscheiden an welcher Stelle Sie stehen soll.
iptables -L --line-numbers
zeigt die die Zeilennummern an. Willst du jetzt einen weiteren CoD4 Server auf Port 28961 nachträglich hinzufügen muss er noch vor der "wegwerf" Regel stehen Im Beispiel würde ich ihn an die 10. Stelle einfügen:

Code angehängt. Klicke hier zum Ein-/Ausblenden

code:
1: 2: 3:	iptables -I EINGANG 10 -p udp -m udp --dport 28961 -j ACCEPT

Es gibt auch Frontends für Iptables, und sicher auch bei Susi. Aber ich bin der Meinung das du so eher den Zusammenhang verstehst und später die komplexere Regeln hinzufügen kannst. Die obenaufgeführten Regeln sind sehr simpel, aber blocken alle offenen Ports ankommend die du nicht ausdrücklich hinzufügst. Später kannst du Sie noch um Log und ICMP Regeln, abgehende Verbindungen ergänzen.
Sei behutsam beim testen - du kannst dich selber aussperren.
iptables -L
zeigt dir den aktuellen Status an. Lass beim testen immer das aktuelle Putty Fenster offen und öffne testweise ein zweites um sicherzustellen das du noch verbinden kannst.

Du hast ja schon rausgefunden das es ziemlich komplex (aber auch extrem anpassbar) ist, daher kann ich dir jetzt keine passende Regel für deine existierende configuration präsentieren. Aber wenn du mit den 10-20 einfachen Regeln experimentierst wirst du es sicher schnell verstehen und kannst dann die SUSI Regeln anpassen.

PS: Linux ist soooo viel besser! Aber Debian bei den sieben Zwergen hinter den sieben Bergen ist noch tausendmal besser!