Sie sind nicht angemeldet.

IPtables

Amorph

Schüler

  • »Amorph« ist der Autor dieses Themas

Beiträge: 57

  • Nachricht senden

1

25.05.2006, 16:33

IPtables

Hiho,

kann jemand eine sehr kurze Einleitung in iptables geben?

Soviel weiß ich:

iptables -A INPUT -p tcp --dport 1023:65535 -j ACCEPT

Damit erlaube ich den "zugriff" der tcp ports 1023 bis 65535 auf den Server...

Aber andere Frage: Wie bekomm ich es denn erstmal hin das ich alle ports sperre un dann hinterher wie ich es brauche ports freigebe?

Hmm danke.. vllt. denk ich auch bisschen kontraproduktiv.. aber bin kein spezialist in iptables =D

edit: Wie seh ich welche Ports ich überhaupt schon freigegeben habe?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Amorph« (25.05.2006, 16:37)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

2

25.05.2006, 16:44

RE: IPtables

das sperren geschieht mit einer defaultregel, die für alle pakete angewendet wird, auf die keine andere regel zutrifft. das sieht dann so aus:
iptables -P INPUT DROP für die input-kette. die regel, die du oben angegeben hast, erlaubt nur einen input. der netzwerkkontakt funktioniert dann aber immer noch nicht, denn wenn mit iptables -P OUTPUT DROP standardmässig alle outputs verboten sind, kann dein rechner keine anfrage (die ja durch deine regel erlaubt wäre) beantworten. du brauchst also für eine netzwerkverbindung immer mindestens eine input und eine passende output regel.
einen recht guten link zur einführung kann ich die hier anbieten http://www.pl-forum.de/t_netzwerk/iptables.html
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Amorph

Schüler

  • »Amorph« ist der Autor dieses Themas

Beiträge: 57

  • Nachricht senden

3

25.05.2006, 20:14

iptables -A INPUT -p tcp --dport 1023:65535 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 1023:65535 -j ACCEPT


Also würde es so gehen?

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

4

25.05.2006, 21:00

das kommt darauf an, was du eigentlich machen willst. die highports für den input freizugeben macht natürlich nur sinn, wenn auch entsprechende serverprozesse dort warten. ansonsten könnte es ein risiko sein, da ungenutzte offene ports einem potentiellen angreifer einen zugang ermöglichen könnten. ausserdem hast du die freigabe mit deinen beiden regeln dann für alle netzwerinterfaces freigegeben, was auch nicht immer sinnvoll/nötig ist. deshalb ist es sinnvoll bei input regeln zumindest die option -i und bei outputregeln die option -o mitzugeben, mit denen du die regel auf gewisse devices einschränken kannst, also zb
iptables -A INPUT -i eth0 ..............
iptables -A OUTPUT -o eth0 .............
wodurch die regel nur auf pakete angewendet wird, die durch das netzwerkdevice eth0 gehen. ansonsten sind noch viele andere verfeinerungen denkbar/sinnvoll, zb src und dst mit denen der ip-netzwerkbereich festgelegt werden kann aus dem /wo hin die pakete gehen sollen, so dass nicht alle rechner die ports nutzen können.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Amorph

Schüler

  • »Amorph« ist der Autor dieses Themas

Beiträge: 57

  • Nachricht senden

5

25.05.2006, 21:15

Okay großes DANKESCHÖN :blume2:... zuguter letzt: Gibt es eine Datei wo ich alle Regeln rein schreiben kann? ODer muss ich alles mit z.b.

iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT in die console eingeben?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Amorph« (25.05.2006, 21:15)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

6

25.05.2006, 21:28

auf den meisten distributionen gibt es schon fertige firewallscripte, in die man dann auch seine eigenen zeilen ergänzen kann.
1. ist das ne suse?
2. soll das ftp werden?
3. ist der rechner der ftp-server?

gruss
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Amorph

Schüler

  • »Amorph« ist der Autor dieses Themas

Beiträge: 57

  • Nachricht senden

7

25.05.2006, 21:38

Hi, ist Debian...

Das da oben war ein Beispiel... ist nen HomeServer zum Testen und rum fummeln... :)

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

8

25.05.2006, 23:24

debian kenn ich leider nicht, aber du kannst unter /etc ja mal nach dateien die iptables enthalten suchen, zb mit
find /etc | xargs grep -H "iptables"
ob schon ein firewallscript existiert. ansonsten schreib selbst eins und hänge es in die startscriptstruktur mit ein.
ansonsten meldet sich vielleicht noch jemand mit debian erfahrung.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.
Thema bewerten