Firewallscripts

Gemeinsam ins Internet mit Firewall und Proxy.
wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re:

Beitrag von wanne » 19.10.2013 09:21:30

pdreker hat geschrieben:Das Skript blockiert alles, was von aussen reinkommt, es sei denn, es wurde von innen explizit angefordert.

Tipps:
Phase1
:arrow: Eine Firewall aufbauen ist ein wenig wie Programmieren. Es gibt fast beliebig viele Wege ein Ziel zu erreichen, daher sagt auch jedes Tutorial was anders.
:arrow: Schau erst'mal in die iptables Doku (nicht Tutorial!) auf http://www.netfilter.org, und verstehe, was INPUT, FORWARD und OUTPUT bedeutet (Da gibts irgednwo so ein schönes kleines Diagramm).
:arrow: Versuche zu verstehen, was eine Chain im allgemeinen ist.
:arrow: Minimale Kenntnisse über TCP und IP wären auch noch hilfreich (Verbindungsaufbau).

Phase2
:arrow: Überlege Dir wo in Deinem Netz die Firewall steht, und wie dein Netz aufgebaut ist.
:arrow: Jetzt plane: was soll die Firewall machen? Was darf rein, was nicht?
:arrow: Mit der man-page in einem Fenster, und die Firewall im anderen: Schritt für Schritt die iptables Befehle zusammen bauen, und ausprobieren. (Aufschreiben!!!)

Konzept: Normalerweise macht man es (für @home!) folgendermassen:
:arrow: Vom Internet ins interne Netz: Es ist nichts erlaubt, ausser ich sage explizit, dass es doch OK ist.
:arrow: Vom internen Netz ins Internet: Es ist alles erlaubt, ausser ich sage explizit, dass es nicht erlaubt ist.
:arrow: Workstations sind durch das Masquerading schon nicht mehr erreichbar (also vor dem Internet geschützt), man muss also eigentlich nur den Router richtig abdichten.

Wenn Du das im Griff hast, kommt NAT. Damit kannst Du dann Ports von dem Router auf die WS weiterleiten, um z.B. P2P Dienste funktionsfähig (oder aktiv) zu machen.

Patrick
Ich weiß dass diese Firewalls üblich sind. Sinnvoll finde ich sie trotdem nicht. Im allgemeinen hat deren Verbreitung vor allem dazu geführt, dass wir jetzt ein paar wenige Großanbieter in den USA haben, über die mehr oder weniger der Vollständige Internetverkehr läuft. So haben schön alle Home PC ausschließlich ausgehende Verbindungen in die USA. Beispiele:
  • Skype hat dank seiner "Firewallfrundlicket" mehr oder weniger alle direkt Telefonie-Systeme (SIP in seiner ursprünglichen Form) verdrängt. Die NSA sagt danke dass sie jetzt schön von zuahse aus Videokonferenzen mithören kann.
  • Teamviewer hat hier in dt. VNC fast vollständig verdränt. BND freut sich über den Remotezugang.
  • GMail und Facebook haben netsend (OK, das war noch kaputter) und co ersetzt. Das hat zu einem ganzen Industriezweig der Personalisierten Werbung geführt.
Der sicherheitsgewinn?
Mal ernsthaft: Kann mir irgend jemand ein Szenario beschreiben, wo ein Paket in der Firewall hängenbleibt, das nem realistischen Linux Rechner schaden würde? (Und jetzt bitte nciht kommen mit wenn jemand eine Linux 1.X Kernel hat, dann ist er anfällig gegen dern Ping of death. Der und andere grundsätzlichen Probleme im Netzwerstack sind seit 15 Jahren tot. Und ein Fehler in iptables ist warscheinlciher. Propo DOS: Mit dem typischen established ist iptables immernoch mit anfällig gegen SYN-Floods. Wo ein Rechner ohne das Problem nicht hat. Deswegen würde ich wenn ehr einfach SYN blocken. Aber ich weiß: Sowas begegnet man heutzutage einfach mit nem zusätzlichen RAM-Riegel und gut ist.)
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
OliverDeisenroth
Beiträge: 499
Registriert: 27.07.2003 22:34:31
Wohnort: Schwalmstadt
Kontaktdaten:

Re: Firewallscripts

Beitrag von OliverDeisenroth » 20.10.2013 17:28:27

Vorheriges Script habe ich verworfen - jetzt läuft eine DROP-Policy als Standard auf meinem Server!

Das heißt, es werden nur die Pakete der Dienste rein-/rausgelassen,
die explizit im Script freigeschaltet wurden!


Sehr schöne Sache für Leute, die maximale Sicherheit auf ihrem Server wollen,
gegen Botnetze wohl auch sehr effizient... da die auch gerne mal auf andere Ports gehen... 8) 8)

Ist für den Dual-Betrieb mit fail2ban geeignet.. :wink:

ACCEPT als "Standard" ist eben zu löchrig - haben mir heute auch ein paar weise Leute im #ubuntu-offtopic Kanal im IRC bestätigt.

Code: Alles auswählen

#!/bin/bash

IPTABLES="/sbin/iptables"
FAIL2BAN="/etc/init.d/fail2ban"

# iptables Firewall-Script for my virtualServer
# Author: Oliver Deisenroth, Date: 20-10-2013
#
# This script can make your server much more secure,
# because it will only open ports for services you USE
# 
# General packet policy is DROP here,
# so be careful that you do not shut yourself out...
# TAKE CARE
#
# fail2ban is also supported and will
# be restarted at the end of the script,
# because the script DELETES all existing rules
# to clean up iptables before
#
# Services allowed:
# FTP (Port 21), SSH (Port 22), Mumur-Server(Mumble, Port 64738),
# HTTP, HTTPS, SMTP, IMAP, POP3
# DNS (Port 53), NTP, NNTP
# Webmin (Port 10000), Submission (Port 587)
#
# See Outgoing and Incoming Rules
#
# For every service you probably need an outgoing and
# incoming rule

# Take care:
# Loopback-Device RULE is ACCEPT by DEFAULT
# Drops SMB/CIFS
#
# And:
# It also drops SPOOFING-Packets
# and PORT scanners

# Modify it to your needs
# If you want logging, use REJECTLOG instead of REJECT at the end
# of the script

# Logging options.
#------------------------------------------------------------------------------
LOG="LOG --log-level debug --log-tcp-sequence --log-tcp-options"
LOG="$LOG --log-ip-options"

# Defaults for rate limiting
#------------------------------------------------------------------------------
RLIMIT="-m limit --limit 3/s --limit-burst 30"

# Default policies.
#------------------------------------------------------------------------------
 
# Drop everything by default.
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
 
# Set the nat/mangle/raw tables' chains to ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
 
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT
 
# Cleanup.
#------------------------------------------------------------------------------
 
# Delete all
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
 
# Delete all
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
# Zero all packets and counters.
$IPTABLES -Z
$IPTABLES -t nat -Z
$IPTABLES -t mangle -Z


# Custom user-defined chains.
#------------------------------------------------------------------------------
 
# LOG packets, then ACCEPT.
$IPTABLES -N ACCEPTLOG
$IPTABLES -A ACCEPTLOG -j $LOG $RLIMIT --log-prefix "ACCEPT "
$IPTABLES -A ACCEPTLOG -j ACCEPT
 
# LOG packets, then DROP.
$IPTABLES -N DROPLOG
$IPTABLES -A DROPLOG -j $LOG $RLIMIT --log-prefix "DROP "
$IPTABLES -A DROPLOG -j DROP
 
# LOG packets, then REJECT.
# TCP packets are rejected with a TCP reset.
$IPTABLES -N REJECTLOG
$IPTABLES -A REJECTLOG -j $LOG $RLIMIT --log-prefix "REJECT "
$IPTABLES -A REJECTLOG -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A REJECTLOG -j REJECT
 
# Only allows RELATED ICMP types
# (destination-unreachable, time-exceeded, and parameter-problem).
# TODO: Rate-limit this traffic?
# TODO: Allow fragmentation-needed?
# TODO: Test.
$IPTABLES -N RELATED_ICMP
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type parameter-problem -j ACCEPT
$IPTABLES -A RELATED_ICMP -j DROPLOG
 
# Make It Even Harder To Multi-PING
$IPTABLES  -A INPUT -p icmp -m limit --limit 1/s --limit-burst 2 -j ACCEPT
$IPTABLES  -A INPUT -p icmp -m limit --limit 1/s --limit-burst 2 -j LOG --log-prefix PING-DROP:
$IPTABLES  -A INPUT -p icmp -j DROP
$IPTABLES  -A OUTPUT -p icmp -j ACCEPT
 
# Only allow the minimally required/recommended parts of ICMP. Block the rest.
#------------------------------------------------------------------------------

# First, drop all fragmented ICMP packets (almost always malicious).
$IPTABLES -A INPUT -p icmp --fragment -j DROPLOG
$IPTABLES -A OUTPUT -p icmp --fragment -j DROPLOG
$IPTABLES -A FORWARD -p icmp --fragment -j DROPLOG
 
# Allow all ESTABLISHED ICMP traffic.
$IPTABLES -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT $RLIMIT
$IPTABLES -A OUTPUT -p icmp -m state --state ESTABLISHED -j ACCEPT $RLIMIT
 
# Allow some parts of the RELATED ICMP traffic, block the rest.
$IPTABLES -A INPUT -p icmp -m state --state RELATED -j RELATED_ICMP $RLIMIT
$IPTABLES -A OUTPUT -p icmp -m state --state RELATED -j RELATED_ICMP $RLIMIT
 
# Allow incoming ICMP echo requests (ping), but only rate-limited.
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT $RLIMIT
 
# Allow outgoing ICMP echo requests (ping), but only rate-limited.
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT $RLIMIT
 
# Drop any other ICMP traffic.
$IPTABLES -A INPUT -p icmp -j DROPLOG
$IPTABLES -A OUTPUT -p icmp -j DROPLOG
$IPTABLES -A FORWARD -p icmp -j DROPLOG
 
# Selectively allow certain special types of traffic.
#------------------------------------------------------------------------------
 
# Allow loopback interface to do anything.
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
 
# Allow incoming connections related to existing allowed connections.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Allow outgoing connections EXCEPT invalid
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Miscellaneous.
#------------------------------------------------------------------------------
 
# We don't care about Milkosoft, Drop SMB/CIFS/etc..
$IPTABLES -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
$IPTABLES -A INPUT -p udp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
 
# Explicitly drop invalid incoming traffic
$IPTABLES -A INPUT -m state --state INVALID -j DROP
 
# Drop invalid outgoing traffic, too.
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
 
# If we would use NAT, INVALID packets would pass - BLOCK them anyways
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
 
# Disable PORT Scanners (stealth also)
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP
 
# TODO: Some more anti-spoofing rules? For example:
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP

# Selectively allow certain outbound connections, block the rest.
#------------------------------------------------------------------------------
 
# Allow outgoing DNS requests. Few things will work without this.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
 
# Allow outgoing HTTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
 
# Allow outgoing HTTPS requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# Allow outgoing Mumble-Server requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 64738 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 64738 -j ACCEPT

# Allow outgoing SMTP requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

# Allow outgoing SMTPS requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 465 -j ACCEPT
 
# Allow outgoing "submission" (RFC 2476) requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 587 -j ACCEPT
 
# Allow outgoing POP3S requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT
 
# Allow outgoing SSH requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

# Allow outgoing Webmin requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 10000 -j ACCEPT
 
# Allow outgoing FTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
 
# Allow outgoing NNTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 119 -j ACCEPT
 
# Allow outgoing NTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 123 -j ACCEPT

# Allow outgoing CVS requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 2401 -j ACCEPT
 
# Allow outgoing MySQL requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT
 
# Allow outgoing SVN requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 3690 -j ACCEPT


# Selectively allow certain inbound connections, block the rest.
#------------------------------------------------------------------------------
 
# Allow incoming DNS requests.
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
 
# Allow incoming HTTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
 
# Allow incoming HTTPS requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
 
# Allow incoming POP3 requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
 
# Allow incoming IMAP4 requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
 
# Allow incoming POP3S requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT
 
# Allow incoming SMTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
 
# Allow incoming SSH requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
 
# Allow incoming FTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
 
# Allow incoming NNTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 119 -j ACCEPT
 
# Allow incoming MySQL requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# Allow incoming Webmin requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 10000 -j ACCEPT

# Allow incoming Mumble-Server Requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 64738 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 64738 -j ACCEPT

# Allow incoming nc requests.
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 2030 -j ACCEPT
# $IPTABLES -A INPUT -m state --state NEW -p udp --dport 2030 -j ACCEPT
 
# Explicitly log and reject everything else.
#------------------------------------------------------------------------------
# Use REJECT instead of REJECTLOG if you don't need/want logging.
$IPTABLES -A INPUT -j REJECT
$IPTABLES -A OUTPUT -j REJECT
$IPTABLES -A FORWARD -j REJECT

$FAIL2BAN restart

# Exit gracefully.
#------------------------------------------------------------------------------
 
    exit 0

Dies sind die Abenteuer des Betriebssystems Debian, das unterwegs ist, um in fremde Logdateien vorzustoßen, die noch nie ein Mensch vorher gesehen hat! 8)
Meine persönliche Homepage (läuft mit Ubuntu-Server)
...when apt is outdated, it is sometimes better to change the running system...!

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Firewallscripts

Beitrag von wanne » 21.10.2013 23:32:18

Da ist die Regel die das typische Botnetz durchlässt:

Code: Alles auswählen

$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
bzw. auf dem Rückweg:

Code: Alles auswählen

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Typischerweise geht das nach Hause:
Großer Port -> 80
Und zum Spam versenden ddos ausführen:
Viele große ports -tcp-> 80
Großer Port -tcp-> 25

Im Übrigen sachen die man gar nciht unbedingt braucht: Warum muss ein Server ausgehende Verbindungen aufmachen können?
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
OliverDeisenroth
Beiträge: 499
Registriert: 27.07.2003 22:34:31
Wohnort: Schwalmstadt
Kontaktdaten:

Re: Firewallscripts

Beitrag von OliverDeisenroth » 22.10.2013 02:45:59

Hallo wanne,

erstmal danke für deine Antwort!

Aber eines erstmal vorweg:

Allwissend bin ich auch nicht, was iptables betrifft, also Ratschläge nehme ich schon gerne an, wenn man mir diese auch ausreichend erläutert! :THX:
(ich weiß, dass ich nichts weiß und das ist auch gut so)

Habe zwar kein Buch über iptables gelesen - dafür habe ich momentan zuviel um die Ohren, aber ich verwende Debian/Ubuntu schon intensivst seit rund 10 Jahren und habe haufenweise Online-Dokumentationen, Hackerforen und fertige Scripte zu iptables gelesen und analysiert...
Also mit den Grundlagen bin ich schon vertraut!

Zur Freischaltung meines Port 80 kann ich Dir mehr erzählen:

Da läuft ein Apache-Server, der ist gegen DDoS nochmals extra mit mod_evasive abgesichert (falls dir das etwas sagt) - ist getestet und ich werde über jeden Angriff via E-Mail informiert (Angriff ebenso schon getestet) :wink:

Das sieht dann so aus:

Code: Alles auswählen

Subject: HTTP BLACKLIST 127.0.0.1

mod_evasive HTTP Blacklisted 127.0.0.1
:P :P :P

Es ist also mein eigener Wille, dass eingehende und ausgehende Verbindungen dort erlaubt sind.

Zudem meldet mir fail2ban täglich rund 10 Angreifer über SSH - der Root-Zugang ist selbstverständlich gesperrt (aber es wird trotzdem versucht :mrgreen:). Macht mir halt Spaß, diese armseeligen SSH-Angreifer an blocklist.de zu melden... :wink:

Bild

Nun ja, erstmal zu deiner ersten Kritik, dazu habe ich das gefunden:

Code: Alles auswählen

# Eingehende Verbindungen erlauben, die sich auf bestehende Verbindungen
# beziehen. (Damit es nach dem Verbindungsrequest eines Clients auch weitergeht)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Also für mich ist diese Regel von Grund auf wichtig, damit die Firewall nicht dicht macht...
Das kann man auch überall nachlesen, wenn du Google mit dieser Zeile fütterst, wirst du darüber sogar auf UNI-Seiten fündig.
wanne hat geschrieben:Im Übrigen sachen die man gar nciht unbedingt braucht: Warum muss ein Server ausgehende Verbindungen aufmachen können?
Also wenn der Client einen Request schickt, dann muss der Server ja auch eine Antwort geben können (Outgoing) - genauso bei FTP.

Client >--------Anfrage------> Server

Client <--------Antwort-----< Server

PS: Hierzu habe ich sogar eine Quelle aus einem Buch, schau hier:

Apache Webserver 2: Installation, Konfiguration, Programmierung

Also ich kann mich nicht beklagen, klar, es gibt immer etwas zu bemängeln, aber die Perfektion wird man wohl nie erreichen!

Ich hatte vorher "SuSE" auf dem Server laufen mit Yast und so - das war die reinste Katastrophe...

Also ich bin jetzt zufrieden, wo ich Ubuntu-Server laufen habe und bin auch sehr sensibel, was die Sicherheit betrifft, deswegen sind zum Beispiel auch SQL-Injections auf mod_rewrite Basis komplett unterbunden (Cross-Side-Scripting ebenfalls etc.) - die Grundlagen dazu habe ich vom Hacker Joseph McCray von der DEF CON (Hackerveranstaltung in Las Vegas) sozusagen persönlich :wink:

Einen deiner Tipps habe ich jedoch umgesetzt:
SMTP (Port 25) deaktiviert - das ist über die Loopback Zeile sowieso schon gestattet, der MTA (sendmail) soll ja auch noch Mails an mich schicken dürfen, also sind die SMTP-Zeilen tatsächlich völlig unnötig! :wink:

Und dass MySQL von außen erreichbar sein soll - ist wohl auch Quatsch - loopback Basis reicht vollkommen!
Also diese Zeilen auch ausgeklammert... :wink:

PS:Und, ja, da auf dem Server läuft mein Privatblog, kein Ebay oder Amazon :P
Dies sind die Abenteuer des Betriebssystems Debian, das unterwegs ist, um in fremde Logdateien vorzustoßen, die noch nie ein Mensch vorher gesehen hat! 8)
Meine persönliche Homepage (läuft mit Ubuntu-Server)
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
4A4B
Beiträge: 925
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: Firewallscripts

Beitrag von 4A4B » 22.10.2013 08:36:44

Nach dieser Regel, in der du bez. OUTPUT auch --state NEW generell zulässt:

Code: Alles auswählen

# Allow outgoing connections EXCEPT invalid
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
... sind die folgenden Einzel-Regeln bez. OUTPUT und --state NEW wohl überflüssig:

Code: Alles auswählen

# Selectively allow certain outbound connections, block the rest.
#------------------------------------------------------------------------------
 
# Allow outgoing DNS requests. Few things will work without this.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

# und so weiter...
Wenn du mit diesen Regeln nur einzelne Destination-Ports zulassen möchtest, solltest du in der genelleren Regel weiter oben das NEW rausnehmen
Also wenn der Client einen Request schickt, dann muss der Server ja auch eine Antwort geben können (Outgoing) - genauso bei FTP.

Client >--------Anfrage------> Server

Client <--------Antwort-----< Server
Das ist dann aber schon mit --state ESTABLISHED,RELATED abgedeckt?

Benutzeravatar
OliverDeisenroth
Beiträge: 499
Registriert: 27.07.2003 22:34:31
Wohnort: Schwalmstadt
Kontaktdaten:

Re: Firewallscripts

Beitrag von OliverDeisenroth » 22.10.2013 12:15:33

4A4B hat geschrieben: Wenn du mit diesen Regeln nur einzelne Destination-Ports zulassen möchtest, solltest du in der genelleren Regel weiter oben das NEW rausnehmen
Alles klar, da hast du wohl Recht, NEW habe ich jetzt rausgenommen und habe immer noch Zugriff! :THX:

Danke...

PS: Port 25 musste ich wieder öffnen - die Mails gingen nicht mehr raus und blieben im Queue stecken :wink:

Beweis, dass es funktioniert...
Dies sind die Abenteuer des Betriebssystems Debian, das unterwegs ist, um in fremde Logdateien vorzustoßen, die noch nie ein Mensch vorher gesehen hat! 8)
Meine persönliche Homepage (läuft mit Ubuntu-Server)
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
OliverDeisenroth
Beiträge: 499
Registriert: 27.07.2003 22:34:31
Wohnort: Schwalmstadt
Kontaktdaten:

Re: Firewallscripts

Beitrag von OliverDeisenroth » 22.10.2013 14:21:35

4A4B hat geschrieben: Das ist dann aber schon mit --state ESTABLISHED,RELATED abgedeckt?
Nein, kann ich in der Praxis nicht bestätigen.

Ohne die explizite Portöffnung (Port 25) kamen bei mir keine Mails mehr an! (blieben alle im MTA stecken)
Dies sind die Abenteuer des Betriebssystems Debian, das unterwegs ist, um in fremde Logdateien vorzustoßen, die noch nie ein Mensch vorher gesehen hat! 8)
Meine persönliche Homepage (läuft mit Ubuntu-Server)
...when apt is outdated, it is sometimes better to change the running system...!

Benutzeravatar
4A4B
Beiträge: 925
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: Firewallscripts

Beitrag von 4A4B » 22.10.2013 15:13:08

Oliver_D hat geschrieben:
4A4B hat geschrieben: Das ist dann aber schon mit --state ESTABLISHED,RELATED abgedeckt?
Nein, kann ich in der Praxis nicht bestätigen.

Ohne die explizite Portöffnung (Port 25) kamen bei mir keine Mails mehr an! (blieben alle im MTA stecken)
Das ist schon klar, dass du zum Mailversenden neue Verbindungen auf Destination-Port 25 aufmachen können musst :). Ich bezog mich in meiner Antwort aber auch nur auf dieses Zitat von dir:
Oliver_D hat geschrieben:
wanne hat geschrieben:Im Übrigen sachen die man gar nciht unbedingt braucht: Warum muss ein Server ausgehende Verbindungen aufmachen können?
Also wenn der Client einen Request schickt, dann muss der Server ja auch eine Antwort geben können (Outgoing) - genauso bei FTP.

Client >--------Anfrage------> Server

Client <--------Antwort-----< Server
Web- und FTP-Server nutzen hierbei eine Verbindung, die bereits ESTABLISHED ist, oder im Falle von FTP auch RELATED

Die folgende Regel wird nur für den Fall benötigt, dass der Server selbst HTTP-Anfragen an Webserver auf anderen Servern stellt (also in diesem Fall der Client ist):

Code: Alles auswählen

# Allow outgoing HTTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
Wobei es solche Fälle durchaus geben kann.

Benutzeravatar
OliverDeisenroth
Beiträge: 499
Registriert: 27.07.2003 22:34:31
Wohnort: Schwalmstadt
Kontaktdaten:

Re: Firewallscripts

Beitrag von OliverDeisenroth » 22.10.2013 15:20:50

4A4B hat geschrieben: Die folgende Regel wird nur für den Fall benötigt, dass der Server selbst HTTP-Anfragen an Webserver auf anderen Servern stellt (also in diesem Fall der Client ist):

Code: Alles auswählen

# Allow outgoing HTTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
Wobei es solche Fälle durchaus geben kann.
Jap, ich denke da zum Beispiel an die PHP-Funktion cURL - ich habe ja Joomla! laufen, und da wird eben auch mal eine Update-Überprüfung ausgehend gemacht... Deswegen habe ich ausgehende Verbindungen eben ja auch an :wink:

Vielen Dank nochmal.
Dies sind die Abenteuer des Betriebssystems Debian, das unterwegs ist, um in fremde Logdateien vorzustoßen, die noch nie ein Mensch vorher gesehen hat! 8)
Meine persönliche Homepage (läuft mit Ubuntu-Server)
...when apt is outdated, it is sometimes better to change the running system...!

Mululu
Beiträge: 35
Registriert: 08.10.2013 18:17:41

Re: Firewallscripts

Beitrag von Mululu » 15.06.2014 22:38:29

Grüße,

Ich habe meinen Server nun Standardmäßig abgesichert.
Nun bin ich bei IPTABLES angekommen. Doch ich tuh mich damit etwas schwer :/.

Kennt ihr vll. eine sehr gutes HowTo in dem IPTABLES gut erklärt ist?

Ich möchte kein Script von anderen nehmen denn dabei lerne ich nicht viel. Ich möchte IPTABLES verstehen und nicht nur benutzen.

Vielen Dank Leute ;)

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Firewallscripts

Beitrag von inne » 16.06.2014 17:30:34

Mululu hat geschrieben: Kennt ihr vll. eine sehr gutes HowTo in dem IPTABLES gut erklärt ist?

Ich möchte kein Script von anderen nehmen denn dabei lerne ich nicht viel. Ich möchte IPTABLES verstehen und nicht nur benutzen.
Ich fand das hier ganz gut: http://www.oreilly.de/catalog/lnxiptablesprger/

Im Kofler wird IPTABLES auch erklärt. Mit einem eigentlich ganz guten Beispiel, um eine Basis zu haben, finde ich.

Mululu
Beiträge: 35
Registriert: 08.10.2013 18:17:41

Re: Firewallscripts

Beitrag von Mululu » 16.06.2014 17:31:59

Danke schon mal. Ich schau Mir das mal an ;)

dirk11
Beiträge: 2813
Registriert: 02.07.2013 11:47:01

Re: Firewallscripts

Beitrag von dirk11 » 16.06.2014 19:19:46

inne hat geschrieben:Ich fand das hier ganz gut: http://www.oreilly.de/catalog/lnxiptablesprger/
"Gedruckte Ausgabe nicht mehr lieferbar".

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Firewallscripts

Beitrag von inne » 16.06.2014 19:24:16

Sogar auf Amazon als Neuware nicht mehr... Bekommt man aber noch gebraucht.

nuhll
Beiträge: 17
Registriert: 05.07.2014 23:56:49

Re: Firewallscripts

Beitrag von nuhll » 10.07.2014 18:16:42

Vielen dank dafür, das werde ich gleich mal ausprobieren, schön dokumentiert! :THX: :THX: :THX:

Da hier offensichtlich Profis am Werk sind: ich möchte jeglichen Traffic auf Squid Port 3268 leiten, das funktioniert soweit, Aber ich möchte nun ein paar Domains auf Nginx Port 80 leiten, Lösung dafür? Grund liegt darin das Nginx einige Domains besser Cached (zb Steam).

Edit:
Leider funktioniert immer noch kein FTP so richtig. Downloaden gheht wunderbar, beim upload fängt er mit max speed an und geht dann langsam auf 0kbs, er schreibt aber ein paar KB bei jedem versuch. Script genauso übernommen nur halt eth0-1 ausgetauscht... das zeigt mir tcp dump und damit kann ich garnichts anfangen :-)

Internet Eth0
19:32:20.919697 IP 95-90-120-15-dynip.superkabel.de.58222 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 2118983292:2118983298, ack 448872428, win 32760, length 6
19:32:20.950315 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58222: Flags [P.], seq 1:15, ack 6, win 46, length 14
19:32:20.950387 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58222: Flags [F.], seq 15, ack 6, win 46, length 0
19:32:20.950590 IP 95-90-120-15-dynip.superkabel.de.58222 > static.38.81.4.46.clients.your-server.de.999: Flags [F.], seq 6, ack 15, win 32757, length 0
19:32:20.950716 IP 95-90-120-15-dynip.superkabel.de.58222 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 16, win 32757, length 0
19:32:20.979039 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58222: Flags [.], ack 7, win 46, length 0
19:32:22.693582 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags , seq 1928771613, win 65535, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
19:32:22.722834 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [S.], seq 1421892684, ack 1928771614, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
19:32:22.723028 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1, win 32768, length 0
19:32:22.758605 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1:105, ack 1, win 46, length 104
19:32:22.758834 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 1:11, ack 105, win 32742, length 10
19:32:22.802944 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [.], ack 11, win 46, length 0
19:32:22.803399 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 105:136, ack 11, win 46, length 31
19:32:22.804491 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 11:35, ack 136, win 32734, length 24
19:32:22.848350 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 136:202, ack 35, win 46, length 66
19:32:22.848459 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 202:208, ack 35, win 46, length 6
19:32:22.848474 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 208:257, ack 35, win 46, length 49
19:32:22.848498 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 257:263, ack 35, win 46, length 6
19:32:22.848593 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 263:339, ack 35, win 46, length 76
19:32:22.848746 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 208, win 32716, length 0
19:32:22.848762 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 263, win 32702, length 0
19:32:22.873393 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 339:414, ack 35, win 46, length 75
19:32:22.873410 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 414:420, ack 35, win 46, length 6
19:32:22.873417 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 420:444, ack 35, win 46, length 24
19:32:22.873510 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 414, win 32664, length 0
19:32:22.873739 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 444, win 32657, length 0
19:32:22.875148 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 35:41, ack 444, win 32657, length 6
19:32:22.908520 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 444:463, ack 41, win 46, length 19
19:32:22.908750 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 41:47, ack 463, win 32652, length 6
19:32:22.940357 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 463:719, ack 47, win 46, length 256
19:32:22.940371 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 719:728, ack 47, win 46, length 9
19:32:22.940513 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 728, win 32586, length 0
19:32:22.940828 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 47:61, ack 728, win 32586, length 14
19:32:22.973988 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 728:748, ack 61, win 46, length 20
19:32:22.994015 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 61:66, ack 748, win 32581, length 5
19:32:23.023704 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 748:785, ack 66, win 46, length 37
19:32:23.024201 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 66:76, ack 785, win 32572, length 10
19:32:23.052752 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 785:813, ack 76, win 46, length 28
19:32:23.054274 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 76:81, ack 813, win 32565, length 5
19:32:23.081461 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 813:850, ack 81, win 46, length 37
19:32:23.091057 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 81:87, ack 850, win 32555, length 6
19:32:23.119811 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 850:899, ack 87, win 46, length 49
19:32:23.153150 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 87:93, ack 899, win 32543, length 6
19:32:23.186947 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 899:948, ack 93, win 46, length 49
19:32:23.225304 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 948:971, ack 93, win 46, length 23
19:32:23.225474 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 971, win 32525, length 0
19:32:23.240033 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 93:101, ack 971, win 32525, length 8
19:32:23.270283 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 971:990, ack 101, win 46, length 19
19:32:23.280646 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 101:136, ack 990, win 32520, length 35
19:32:23.305494 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 990:1042, ack 136, win 46, length 52
19:32:23.305553 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1042:1198, ack 136, win 46, length 156
19:32:23.305563 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1198:1215, ack 136, win 46, length 17
19:32:23.305898 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1198, win 32468, length 0
19:32:23.306193 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 136:142, ack 1215, win 32464, length 6
19:32:23.335355 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1215:1263, ack 142, win 46, length 48
19:32:23.386777 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1263, win 32452, length 0
19:32:23.425853 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 142:155, ack 1263, win 32452, length 13
19:32:23.455849 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1263:1334, ack 155, win 46, length 71
19:32:23.456293 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 155:190, ack 1334, win 32434, length 35
19:32:23.485175 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1334:1409, ack 190, win 46, length 75
19:32:23.536900 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1409, win 32416, length 0
19:32:33.514313 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 190:196, ack 1409, win 32416, length 6
19:32:33.543100 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1409:1457, ack 196, win 46, length 48
19:32:33.576093 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 196:202, ack 1457, win 32404, length 6
19:32:33.609567 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1457:1506, ack 202, win 46, length 49
19:32:33.645321 IP static.38.81.4.46.clients.your-server.de.999 > 95-90-120-15-dynip.superkabel.de.58441: Flags [P.], seq 1506:1529, ack 202, win 46, length 23
19:32:33.645507 IP 95-90-120-15-dynip.superkabel.de.58441 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1529, win 32768, length 0


Netzwerk Eth1

19:37:46.392547 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 2135073954:2135073962, ack 605575939, win 32518, length 8
19:37:46.423129 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 1:20, ack 8, win 46, length 19
19:37:46.424312 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 8:43, ack 20, win 32513, length 35
19:37:46.454288 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 20:73, ack 43, win 46, length 53
19:37:46.454614 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 43:49, ack 73, win 32500, length 6
19:37:46.482987 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 73:121, ack 49, win 46, length 48
19:37:46.516681 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 49:55, ack 121, win 32488, length 6
19:37:46.556595 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 121:170, ack 55, win 46, length 49
19:37:46.599700 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 170:193, ack 55, win 46, length 23
19:37:46.600096 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 193, win 32470, length 0
19:37:46.606169 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 55:61, ack 193, win 32470, length 6
19:37:46.661984 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 193:240, ack 61, win 46, length 47
19:37:46.707136 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 240, win 32458, length 0
19:37:46.711795 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 61:96, ack 240, win 32458, length 35
19:37:46.746499 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 240:314, ack 96, win 46, length 74
19:37:46.796190 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 314, win 32440, length 0
19:38:59.161805 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 96:102, ack 314, win 32440, length 6
19:38:59.165676 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 102:108, ack 314, win 32440, length 6
19:38:59.234121 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [.], ack 108, win 46, length 0
19:39:59.164785 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [F.], seq 108, ack 314, win 32440, length 0
19:39:59.233471 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [.], ack 109, win 46, length 0
19:40:01.175588 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags , seq 3201831444, win 65535, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
19:40:01.205206 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [S.], seq 3913268266, ack 3201831445, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
19:40:01.205490 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1, win 32768, length 0
19:40:01.244092 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1:105, ack 1, win 46, length 104
19:40:01.244555 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 1:11, ack 105, win 32742, length 10
19:40:01.272278 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [.], ack 11, win 46, length 0
19:40:01.305691 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 105:136, ack 11, win 46, length 31
19:40:01.306062 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 11:35, ack 136, win 32734, length 24
19:40:01.355479 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 136:202, ack 35, win 46, length 66
19:40:01.355517 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 202:208, ack 35, win 46, length 6
19:40:01.355537 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 208:257, ack 35, win 46, length 49
19:40:01.355545 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 257:263, ack 35, win 46, length 6
19:40:01.355660 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 263:339, ack 35, win 46, length 76
19:40:01.355983 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 208, win 32716, length 0
19:40:01.356078 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 263, win 32702, length 0
19:40:01.397392 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 339:414, ack 35, win 46, length 75
19:40:01.397402 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 414:420, ack 35, win 46, length 6
19:40:01.397409 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 420:444, ack 35, win 46, length 24
19:40:01.397733 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 414, win 32664, length 0
19:40:01.397861 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 444, win 32657, length 0
19:40:01.398053 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 35:41, ack 444, win 32657, length 6
19:40:01.426051 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 444:463, ack 41, win 46, length 19
19:40:01.426360 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 41:47, ack 463, win 32652, length 6
19:40:01.457896 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 463:719, ack 47, win 46, length 256
19:40:01.457906 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 719:728, ack 47, win 46, length 9
19:40:01.458083 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 728, win 32586, length 0
19:40:01.458305 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 47:61, ack 728, win 32586, length 14
19:40:01.490826 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 728:748, ack 61, win 46, length 20
19:40:01.491409 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 61:66, ack 748, win 32581, length 5
19:40:01.518605 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 748:785, ack 66, win 46, length 37
19:40:01.518967 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 66:76, ack 785, win 32572, length 10
19:40:01.547859 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 785:813, ack 76, win 46, length 28
19:40:01.548201 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 76:81, ack 813, win 32565, length 5
19:40:01.580778 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 813:850, ack 81, win 46, length 37
19:40:01.583349 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 81:87, ack 850, win 32555, length 6
19:40:01.611600 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 850:899, ack 87, win 46, length 49
19:40:01.643696 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 87:93, ack 899, win 32543, length 6
19:40:01.672266 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 899:948, ack 93, win 46, length 49
19:40:01.704701 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 948:971, ack 93, win 46, length 23
19:40:01.705029 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 971, win 32525, length 0
19:40:01.722308 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 93:101, ack 971, win 32525, length 8
19:40:01.752127 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 971:990, ack 101, win 46, length 19
19:40:01.752420 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 101:136, ack 990, win 32520, length 35
19:40:01.787440 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 990:1042, ack 136, win 46, length 52
19:40:01.787506 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1042:1198, ack 136, win 46, length 156
19:40:01.787515 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1198:1215, ack 136, win 46, length 17
19:40:01.787809 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1198, win 32468, length 0
19:40:01.788081 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 136:142, ack 1215, win 32464, length 6
19:40:01.819653 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1215:1264, ack 142, win 46, length 49
19:40:01.864547 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 142:155, ack 1264, win 32452, length 13
19:40:01.893621 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1264:1335, ack 155, win 46, length 71
19:40:01.894004 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 155:190, ack 1335, win 32434, length 35
19:40:01.928568 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1335:1410, ack 190, win 46, length 75
19:40:01.981852 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1410, win 32415, length 0
19:40:11.964785 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 190:196, ack 1410, win 32415, length 6
19:40:11.992613 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1410:1458, ack 196, win 46, length 48
19:40:12.020798 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [P.], seq 196:202, ack 1458, win 32403, length 6
19:40:12.050811 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1458:1507, ack 202, win 46, length 49
19:40:12.088500 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58704: Flags [P.], seq 1507:1530, ack 202, win 46, length 23
19:40:12.088642 IP 192.168.0.125.58704 > static.38.81.4.46.clients.your-server.de.999: Flags [.], ack 1530, win 32768, length 0
19:40:25.135342 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 314:336, ack 109, win 46, length 22
19:40:25.135359 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 336:382, ack 109, win 46, length 46
19:40:25.135375 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [P.], seq 382:430, ack 109, win 46, length 48
19:40:25.135392 IP static.38.81.4.46.clients.your-server.de.999 > 192.168.0.125.58581: Flags [FP.], seq 430:459, ack 109, win 46, length 29
19:40:25.135512 IP 192.168.0.125.58581 > static.38.81.4.46.clients.your-server.de.999: Flags [R.], seq 109, ack 336, win 0, length 0



Das sagt der FTP log:

[19:32:16] [L] Verbindung herstellen zu 46.4.81.38 -> IP=46.4.81.38 PORT=999
[19:32:16] [L] Verbunden mit 46.4.81.38
[19:32:16] [L] 220 ProFTPD 1.3.3a Server (Serv-U is the FTP server that is both secure and easy to use.) [46.4.81.38]
[19:32:16] [L] USER ftp
[19:32:16] [L] 331 Password required for ftp
[19:32:16] [L] PASS (hidden)
[19:32:16] [L] 230-Welcome, archive user ftp@95-90-120-15-dynip.superkabel.de !
[19:32:16] [L] 230-
[19:32:16] [L] 230-The local time is: Thu Jul 10 19:32:18 2014
[19:32:16] [L] 230-
[19:32:16] [L] 230-This is an experimental FTP server. If you have any unusual problems,
[19:32:16] [L] 230-please report them via e-mail to <root@Debian-60-squeeze-64-minimal>.
[19:32:16] [L] 230-
[19:32:16] [L] 230 User ftp logged in
[19:32:16] [L] SYST
[19:32:16] [L] 215 UNIX Type: L8
[19:32:16] [L] FEAT
[19:32:16] [L] 211-Features:
[19:32:16] [L] LANG en-US.UTF-8*;en-US
[19:32:16] [L] MDTM
[19:32:16] [L] MFMT
[19:32:16] [L] TVFS
[19:32:16] [L] UTF8
[19:32:16] [L] MFF modify;UNIX.group;UNIX.mode;
[19:32:16] [L] MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
[19:32:16] [L] SITE MKDIR
[19:32:16] [L] SITE RMDIR
[19:32:16] [L] SITE UTIME
[19:32:16] [L] SITE SYMLINK
[19:32:16] [L] REST STREAM
[19:32:16] [L] SIZE
[19:32:16] [L] 211 End
[19:32:16] [L] OPTS UTF8 ON
[19:32:16] [L] 200 UTF8 set to on
[19:32:16] [L] PWD
[19:32:16] [L] 257 "/ftp" is the current directory
[19:32:16] [L] CWD /ftp
[19:32:16] [L] 250 CWD command successful
[19:32:16] [L] PWD
[19:32:16] [L] 257 "/ftp" is the current directory
[19:32:16] [L] PASV
[19:32:16] [L] 227 Entering Passive Mode (46,4,81,38,204,213).
[19:32:16] [L] Datenkanal-IP öffnen: 46.4.81.38 PORT: 52437
[19:32:16] [L] MLSD
[19:32:16] [L] 150 Opening ASCII mode data connection for MLSD
[19:32:16] [L] 226 Transfer complete
[19:32:16] [L] Verzeichnis geladen: 2 KB in 0,15 Sekunde (3,0 KB/s)
[19:32:16] [L] TYPE I
[19:32:16] [L] 200 Type set to I
[19:32:16] [L] MLST Win_Enterprise_8.1_64BIT.ISO
[19:32:16] [L] 250-Start of list for Win_Enterprise_8.1_64BIT.ISO
[19:32:16] [L] 250-modify=20140710172806;perm=adfrw;size=156584;type=file;unique=903U5247FB1;UNIX.group=65534;UNIX.mode=0644;UNIX.owner=106; Win_Enterprise_8.1_64BIT.ISO
[19:32:16] [L] 250 End of list
[19:32:16] [L] PASV
[19:32:16] [L] 227 Entering Passive Mode (46,4,81,38,222,42).
[19:32:16] [L] Datenkanal-IP öffnen: 46.4.81.38 PORT: 56874
[19:32:17] [L] REST 156584
[19:32:17] [L] 350 Restarting at 156584. Send STORE or RETRIEVE to initiate transfer
[19:32:17] [L] STOR Win_Enterprise_8.1_64BIT.ISO
[19:32:17] [L] 451 Win_Enterprise_8.1_64BIT.ISO: Append/Restart not permitted, try again
[19:32:27] [L] Übertragung fehlgeschlagen: Win_Enterprise_8.1_64BIT.ISO
[19:32:27] [L] PASV
[19:32:27] [L] 227 Entering Passive Mode (46,4,81,38,234,92).
[19:32:27] [L] Datenkanal-IP öffnen: 46.4.81.38 PORT: 59996
[19:32:27] [L] MLSD
[19:32:27] [L] 150 Opening ASCII mode data connection for MLSD
[19:32:27] [L] 226 Transfer complete
[19:32:27] [L] Verzeichnis geladen: 2 KB in 0,13 Sekunde (3,0 KB/s)
[19:32:27] Übertragung von Warteschlange komplett
[19:32:27] Übertragen 0 Dateien (0 bytes) in 11 Sekunden (0,0 KB/s)
[19:32:27] 1 Datei Fehlgeschlagen

nuhll
Beiträge: 17
Registriert: 05.07.2014 23:56:49

Re: Firewallscripts

Beitrag von nuhll » 14.07.2014 19:16:14

Ich hab schon selbst herausgefunden woran es wahrscheinlich liegt.

Ich habe


modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

per iptables rule gestartet.

Habe zusätzlich folgende Datein in dem Ordner:
root@debian-server:~# vi /etc/modprobe.d/
fbdev-blacklist.conf ip_conntrack.conf ip_nat_ftp.conf ip_conntrack_ftp.conf

erstellt, Inhalt:
options [name modul] ports=21,999
Leider scheint das nicht zu funktionieren, natürlich gibt es auch KEINERLEI Informationen im Netz, ich kann das gar nicht glauben und da wundert sich die Linux Community wenn einige Linux verfluchen!?

Wo und wie kann ich in Debian Wheezy diese Optionen übergeben?! Den Tipp mit unter modprobe.d hab ich in irgendeinem Thread gefunden, da ging es aber um Ubuntu..

kernel.log sagt zu der Geschichte folgendes:
Jul 14 19:20:23 debian-server kernel: [ 10.557524] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Jul 14 19:20:23 debian-server kernel: [ 10.683280] nf_nat_ftp: kernel >= 2.6.10 only uses 'ports' for conntrack modules

zwiebelchen
Beiträge: 138
Registriert: 31.03.2011 12:51:42

Re: Firewallscripts

Beitrag von zwiebelchen » 22.07.2014 17:56:03

Versuch mal im Firewall-Script

Code: Alles auswählen

modprobe ip_conntrack_ftp ports=21,999
Debian 7 Wheezy mit Gnome 3 auf Xeon 1230V2, Asus P8H77, 16 GB DDR3, 120 GB Samsung 830 SSD, Gigabyte GTX 660

andreathome
Beiträge: 24
Registriert: 21.07.2015 10:50:55

Re: Firewallscripts

Beitrag von andreathome » 30.07.2015 00:06:46

Bin set 3 Jahren zufrieden mit http://goodworkaround.com/node/32 auf mein Webdav server.
Unter das Original. Er ersetze wo notwendig ACCEPT durch DROP,
Was Ich selbst auch gemacht habe, nur 443 ist geöffnet für Webdav.., die rest steht auf DROP oder ist "auscommentiert' mit #.
Die Text ohne # hab Ich als Beispiel, das Orginal, hier stehen lassen.

/etc/iptables_secure.sh

Code: Alles auswählen

#!/bin/sh

IPT="/sbin/iptables"

# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain

# Set default policies for all three default chains
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# All TCP sessions should begin with SYN
# $IPT -A INPUT -p tcp ! --syn -m state --state NEW -s 0.0.0.0/0 -j DROP

# Accept established connections
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Opening CARP"
$IPT -A INPUT --protocol 112 -j ACCEPT

# Brute force
# Limit the number of ssh connections to 6 per minute
$IPT -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
$IPT -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --rttl --name SSH -j DROP

# Limit the number of ftp connections to 10 per minute
# $IPT -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -m recent --set --name FTP
# $IPT -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name FTP -j DROP

echo "Opening FTP"
$IPT -A INPUT -p tcp --dport 20 -m state --state NEW -j ACCEPT
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$IPT -A INPUT -p tcp --sport 1024: --dport 1024:  -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1024: --dport 1024:  -m state --state ESTABLISHED,RELATED -j ACCEPT


echo "Opening HTTP(S)"
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT 
$IPT -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

echo "Opening SSH"
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

echo "Opening MySQL"
$IPT -A INPUT -p tcp --dport 3306 -m state --state NEW -j ACCEPT

echo "Opening port 7777 - ocfs2"
$IPT -A INPUT -p tcp --dport 7777 -m state --state NEW -j ACCEPT
$IPT -A INPUT -p udp --dport 7777 -j ACCEPT

echo "Opening NTP"
$IPT -A INPUT -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -p tcp --dport 123 -m state --state NEW -j ACCEPT

# echo "Opening all from same subnet"
# $IPT -A INPUT -p tcp -s 192.168.1.0/24 -m state --state NEW -j ACCEPT

# Accept inbound ICMP messages
echo "Opening ping and traceroute"
$IPT -A INPUT -p ICMP --icmp-type 8 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p ICMP --icmp-type 11 -s 0.0.0.0/0 -j ACCEPT
/etc/iptables_open.sh

Code: Alles auswählen

#!/bin/sh
echo "Opening firewall"
IPT="/sbin/iptables"

# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain

# Set default policies for all three default chains
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
/etc/init.d/firewall

Code: Alles auswählen

#! /bin/sh
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:     $portmap
# Required-Stop:     
# Should-Start:      udev-mtab
# Default-Start:     2
# Default-Stop:      0 6
# Short-Description: 
# Description:       
### END INIT INFO

. /lib/init/vars.sh
. /lib/lsb/init-functions

case "$1" in
    start)
        sh /etc/iptables_script.sh
        ;;
    restart|reload|force-reload)
        echo "Error: argument '$1' not supported" >&2
        exit 3
        ;;
    stop)
        sh /etc/iptables_open.sh
        ;;
    *)
        echo "Usage: $0 start|stop" >&2
        exit 3
        ;;
esac
Um die FW aktiv zu machen:

Code: Alles auswählen

chmod +x /etc/init.d/firewall
Starten:

Code: Alles auswählen

/etc/init.d/firewall start
Stoppen:

Code: Alles auswählen

/etc/init.d/firewall stop
FW auto starten bei booten:

Code: Alles auswählen

update-rc.d firewall defaults

Antworten