IPTable Konfiguration

Bennyy · Beitrag von **Bennyy** » 02.02.2017 15:03:49

Guten Tag,

ich habe mich gerade an die Einstellung der IPTables gewagt, was nicht so funktionieren wollte wie ich es wollte.
Mein Ziel ist es:

- SSH Port (180) von alle IPs erreichbar
- Voll anpingbarkeit und Verbindungen (alle Ports) von einer IP z.B 123.123.123.123
- Alle anderen IPs sollen komplett gedropt werden (mit Ausnahme SSH (180))

Kann mir dort jemand Helfen?
Danke im vorraus!

MSfree · Beitrag von **MSfree** » 02.02.2017 15:16:13

Code: Alles auswählen

# Default: niemand darf gar nichts
iptables -P OUTPUT  DROP
iptables -P INPUT   DROP
iptables -P FORWARD DROP

# zulassen von bereits bestehenden Verbindungen
iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Port 180
iptables -A INPUT -p tcp --dport 180 -m state --state NEW -j ACCEPT

# IP 123.123.123.123
iptables -A INPUT -s 123.123.123.123 -m state --state NEW -j ACCEPT

# Loggen der abgewiesenen Verbindungen:
iptables -A OUTPUT  -m limit --limit 100/minute -j LOG --log-level info --log-prefix "outgoing: "
iptables -A OUTPUT  -j DROP
iptables -A INPUT   -m limit --limit 100/minute -j LOG --log-level info --log-prefix "incoming: "
iptables -A INPUT   -j DROP
iptables -A FORWARD -m limit --limit 100/minute -j LOG --log-level info --log-prefix "forward: "
iptables -A FORWARD -j DROP

Bennyy · Beitrag von **Bennyy** » 02.02.2017 17:07:24

Herzlichen Dank

MSfree hat geschrieben:

Code: Alles auswählen

# Default: niemand darf gar nichts
iptables -P OUTPUT  DROP
iptables -P INPUT   DROP
iptables -P FORWARD DROP

# zulassen von bereits bestehenden Verbindungen
iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Port 180
iptables -A INPUT -p tcp --dport 180 -m state --state NEW -j ACCEPT

# IP 123.123.123.123
iptables -A INPUT -s 123.123.123.123 -m state --state NEW -j ACCEPT

# Loggen der abgewiesenen Verbindungen:
iptables -A OUTPUT  -m limit --limit 100/minute -j LOG --log-level info --log-prefix "outgoing: "
iptables -A OUTPUT  -j DROP
iptables -A INPUT   -m limit --limit 100/minute -j LOG --log-level info --log-prefix "incoming: "
iptables -A INPUT   -j DROP
iptables -A FORWARD -m limit --limit 100/minute -j LOG --log-level info --log-prefix "forward: "
iptables -A FORWARD -j DROP

dufty2 · Beitrag von **dufty2** » 02.02.2017 18:59:41

2 Bemerkungen am Rande:
Da Forwarding per default nicht angeschalten ist, erübrigt sich eigentlich "iptables -P FORWARD DROP".
Kann aber nicht schaden, falls man es versehentlich einschaltet.

"iptables -A OUTPUT -j DROP" (ditto für INPUT/FORWARD) erschließt sich mir nicht ganz, da ja die Policy jeweils auf "DROP" schon steht.

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 02.02.2017 21:09:47

Code: Alles auswählen
# Default: niemand darf gar nichts

Ich kann sowas nicht gutfinden.

MSfree · Beitrag von **MSfree** » 02.02.2017 22:53:08

niemand hat geschrieben:Ich kann sowas nicht gutfinden.

Irgendwie habe ich genau auf den Kommentar gewartet.

debianforum.de

IPTable Konfiguration

IPTable Konfiguration

Re: IPTable Konfiguration

Re: IPTable Konfiguration

Re: IPTable Konfiguration

Re: IPTable Konfiguration

Re: IPTable Konfiguration