Opferlamm-Clan Board
www.opferlamm-clan.de
Verantwortlich für diese bösen Machenschaften: siehe Impressum
Registrierung Kalender Mitgliederliste Suche Häufig gestellte Fragen Zur Startseite

Opferlamm-Clan Board » Das Intranet ..... unendliche Weiten ... (Kultspruch, muss bleiben!) » Hilfe » Rootserver » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (2): « vorherige 1 [2] Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Rootserver
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Kelli
... sehr viel alleine


Dabei seit: 09.11.2006
Beiträge: 2.504
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Zitat:

Original von Deichgraf
Nirgendwo, in keiner Liste der Firewall taucht der gestartete Dienst auf,
nirgendwo kann man der Firewall sagen: "Nimm den Dienst Teamspeak,
und lass ihn seine Arbeit tun"

Hehe, das ist ja auch für Männer, kein Klickibunti Symashit Schlangenöl.
Ich gehe mit das gerade bei SUSE die Firewallscripte extrem! unübersichtlich sind weil der default da allen möglichen Quatsch loggt und Ausnahmen hier macht und Ausnahmen da macht. Es ist jetzt schwierig dir so einen Tip zu geben.

Zitat:

Original von Deichgraf
Gerade gefunden: reicht da 0/0 oder muss dort 0.0.0.0/0 eingegeben werden, damit er alle Verbindungen erlaubt?

Wenn du alles erlauben willst tuts ein

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:
5:
6:
7:

iptables -F
iptables -X
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT


Vom Prinzip lebt man damit genauso sicher wenn man alle Dienste die laufen beim Namen kennt. Aber ich habe nicht den Eindruck das dies bei dir der Fall ist grosses Grinsen Zum testen willst du vielleicht eine Handvoll einfache Regeln benutzen:
Erstmal das alte weg damit ein definierter Zustand hergestellt ist (alles erlaubt)

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:
5:
6:
7:

iptables -F
iptables -X
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD  REJECT


Eine neue Regel - nur für dich grosses Grinsen

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:

iptables --new-chain EINGANG
iptables -A INPUT -j EINGANG


Jetzt gehts los. Folgende Zeilen sind für SSH FTP, Mail. Achtung! Aussperrgefahr!

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:
5:
6:

iptables -A EINGANG -i lo -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 20:21 -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 25 -j ACCEPT


// folgende Zeile die IP deines DNS Servers eintragen

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:

iptables -A EINGANG -s 62.80.124.70 -p udp -m udp --sport 53 -j ACCEPT


// Für Webmin PORT Anpassen!

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:

iptables -A EINGANG -p tcp -m tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
iptables -A EINGANG -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT


// Für Teamspeak

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:

iptables -A EINGANG -p udp -m udp --dport 8767 -j ACCEPT
iptables -A EINGANG -p tcp -m tcp --dport 14534 -j ACCEPT


// Für CoD Server auf Port 28960

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:

iptables -A EINGANG  -p udp -m udp --dport 28960 -j ACCEPT


// ZULETZT! Alles was bis jetzt nicht unter erlaubt aufgeführt wurde kommt kommentarlos weg. Nein kein "12 Bedrohungen abgewehrt" Popupfenster, kein "Sie sind vor Hackern geschützt!!!!elf" Banner. Einfach nur weg damit....

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:

iptables -A EINGANG  -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable
iptables -A EINGANG  -p udp -m udp -j REJECT --reject-with icmp-port-unreachable


Alle ankommenden Pakete werden auf die Regel Eingang verwiesen. Diese Regel wird jetzt von oben nach unten abgearbeitet. Also:
- ist das ankommende Paket von der Loopback?
- ist das ankommende Paket für Port 22 (ssh)?
- ist das ankommende Paket für Port 25 (mail)?
...
- ist das ankommende Paket für Port 8767 (TS)?
...
ist das Paket ganz unten angekommen wird es weggeworfen:

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:
4:

iptables -A EINGANG  -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable
iptables -A EINGANG  -p udp -m udp -j REJECT --reject-with icmp-port-unreachable


Willst du jetzt eine neue Regel hinzufügen musst du erstmal entscheiden an welcher Stelle Sie stehen soll.
iptables -L --line-numbers
zeigt die die Zeilennummern an. Willst du jetzt einen weiteren CoD4 Server auf Port 28961 nachträglich hinzufügen muss er noch vor der "wegwerf" Regel stehen Im Beispiel würde ich ihn an die 10. Stelle einfügen:

Code einblendenCode angehängt. Klicke hier zum Ein-/Ausblenden

code: 
1:
2:
3:

iptables -I EINGANG 10 -p udp -m udp --dport 28961 -j ACCEPT


Es gibt auch Frontends für Iptables, und sicher auch bei Susi. Aber ich bin der Meinung das du so eher den Zusammenhang verstehst und später die komplexere Regeln hinzufügen kannst. Die obenaufgeführten Regeln sind sehr simpel, aber blocken alle offenen Ports ankommend die du nicht ausdrücklich hinzufügst. Später kannst du Sie noch um Log und ICMP Regeln, abgehende Verbindungen ergänzen.
Sei behutsam beim testen - du kannst dich selber aussperren.
iptables -L
zeigt dir den aktuellen Status an. Lass beim testen immer das aktuelle Putty Fenster offen und öffne testweise ein zweites um sicherzustellen das du noch verbinden kannst.

Du hast ja schon rausgefunden das es ziemlich komplex (aber auch extrem anpassbar) ist, daher kann ich dir jetzt keine passende Regel für deine existierende configuration präsentieren. Aber wenn du mit den 10-20 einfachen Regeln experimentierst wirst du es sicher schnell verstehen und kannst dann die SUSI Regeln anpassen.

PS: Linux ist soooo viel besser! Aber Debian bei den sieben Zwergen hinter den sieben Bergen ist noch tausendmal besser!

__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“

Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.

https://kkde.de/scum/
04.01.2008 18:25
 Kelli ist offline Homepage von Kelli Beiträge von Kelli suchen Nehmen Sie Kelli in Ihre Freundesliste auf
Deichgraf
Prof. Dr. D. Drüsendieb


images/avatars/avatar-1472.jpg


Dabei seit: 08.04.2006
Beiträge: 1.581
großes Grinsen Sorry für die späte Meldung Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
@Kellerkind

Danke für deine Mühe! Augenzwinkern

Zitat:


Es gibt auch Frontends für Iptables


Japp! Gott sei Dank! Ich habe mir nun von einem unserer Leute die
Regelerstellung in "Webmin" erklären lassen, und muss zugeben, das ich
da zu kompliziert gedacht habe. Nachdem wir dort 3 einfache Regeln
hinterlegt und ein wenig aufgeräumt hatten, habe auch ich begriffen,
wie das damit funktioniert. Sicherlich habe ich noch nicht alle zu
beachtenden Grundlagen aufm Kasten, aber da bin ich frohen Mutes...

Gruß
Daniel

__________________
07.01.2008 12:44
 Deichgraf ist offline E-Mail an Deichgraf senden Beiträge von Deichgraf suchen Nehmen Sie Deichgraf in Ihre Freundesliste auf
Seiten (2): « vorherige 1 [2] Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Opferlamm-Clan Board » Das Intranet ..... unendliche Weiten ... (Kultspruch, muss bleiben!) » Hilfe » Rootserver

Impressum ||Datenschutzerklärung

Forensoftware: Wbb - WoltLab GmbH || zum Archiv