iptables subnetz Accept polciy drop funktioniert nicht.

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
nade
Beiträge: 13
Registriert: 15.06.2015 15:17:00

iptables subnetz Accept polciy drop funktioniert nicht.

Beitrag von nade » 01.06.2017 14:40:17

Hey,
habe auf einem Alten system leider ein paar probleme, ein update ist zeitnah da produktiv system leider nicht möglich.

Ausgangsituation;
debian 7.11
Iptables 1.4.14
aktuell sind die policy´s alle auf Accept:

Code: Alles auswählen

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Richte ich nun folgende regeln ein:

Code: Alles auswählen

iptables -A INPUT -p tcp --src 10.10.10.10/28 --dport 6555 -j ACCEPT
iptables -A INPUT -p tcp --src 10.10.10.10/28 --dport 6557 -j ACCEPT
funktioniert erstmal alles:

Code: Alles auswählen

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  10.10.10.0/28        anywhere             tcp dpt:6555
ACCEPT     tcp  --  10.10.10.0/28        anywhere             tcp dpt:6557

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Setzte ich nun aber die policy auf Drop:

Code: Alles auswählen

iptables -P INPUT DROP
Ist die Chain Defekt:

Code: Alles auswählen

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
hat jemand eine idee wo ich den fehler mache?

Grüße
Nach oben
mat6937
Beiträge: 2953
Registriert: 09.12.2014 10:44:00

Re: iptables subnetz Accept polciy drop funktioniert nicht.

Beitrag von mat6937 » 01.06.2017 16:19:13

nade hat geschrieben: hat jemand eine idee wo ich den fehler mache?
Wenn Du absolut sicher bist, dass Du dich nicht aussperrst, dann setz mal zu erst die default policy der INPUT chain auf drop und danach deine ACCEPT-Regel(n).

Oder m. E. noch besser, die default policy der INPUT chain auf ACCEPT belassen und folgende 2 Regeln in der INPUT chain:

Code: Alles auswählen

iptables -I INPUT 1 -p tcp --src 10.10.10.10/28 -m multiport --dports 6555,6557 -j ACCEPT
iptables -I INPUT 2 -p tcp -j DROP
... denn ich denke Du willst ja nicht Alles (udp, icmp, RELATED, ESTABLISHED, etc.) mit der INPUT chain blocken.
Nach oben
nade
Beiträge: 13
Registriert: 15.06.2015 15:17:00

Re: iptables subnetz Accept polciy drop funktioniert nicht.

Beitrag von nade » 02.06.2017 13:46:01

Hey, icmp etc pp wird alles manuell freigegeben,
ich habe nur der einfacheit halber die regeln hineingeschrieben, die die probleme verursachen.
Und nicht alle Regeln.

Ich teste das gleich mal aus, grüße.
Nach oben
Antworten

Zurück zu „Netzwerk“