iptables: Verbindungen werden abgewiesen, obwohl der Port freigegeben ist

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

iptables: Verbindungen werden abgewiesen, obwohl der Port freigegeben ist

Beitrag von _ash » 30.08.2022 15:02:29

Ich habe per iptables Folgendes defininiert:

Code: Alles auswählen

*filter

# Allow all loopback (lo) traffic and reject traffic
# to localhost that does not originate from lo.
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
-A OUTPUT -o lo -j ACCEPT

# Allow ping and ICMP error returns.
-A INPUT -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

# Allow SSH.
-A INPUT -i ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 22 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state ESTABLISHED --dport 22 -j ACCEPT

# Allow UDP traffic on port 1194.
-A INPUT -i ens3 -p udp -m state --state NEW,ESTABLISHED --dport 1194 -j ACCEPT
-A OUTPUT -o ens3 -p udp -m state --state ESTABLISHED --dport 1194 -j ACCEPT

# Allow DNS resolution and limited HTTP/S on ens3.
# Necessary for updating the server and keeping time.
-A INPUT -i ens3 -p udp -m state --state ESTABLISHED --dport 53 -j ACCEPT
-A OUTPUT -o ens3 -p udp -m state --state NEW,ESTABLISHED --dport 53 -j ACCEPT
-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --dport 53 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 53 -j ACCEPT

-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --dport 80 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 80 -j ACCEPT
-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --dport 443 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 443 -j ACCEPT

# Allow traffic on the TUN interface.
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

# Allow forwarding traffic only from the VPN.
-A FORWARD -i tun0 -o ens3 -s 10.89.0.0/24 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log any packets which don't fit the rules above...
# (optional but useful)
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 4
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 4
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "iptables_OUTPUT_denied: " --log-level 4

# then reject them.
-A INPUT -j REJECT
-A FORWARD -j REJECT
-A OUTPUT -j REJECT

COMMIT
Damit sollte eigentlich der Port 20200 für SSH-Verbindungen offen sein. Versuche ich mich aber per SSH auf diesen Server zu verbinden, ist der Port zu, /var/log/messages sagt dazu:
[removed]
Jemand eine Idee??
Zuletzt geändert von _ash am 30.08.2022 15:58:04, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: iptables: Verbindungen werden abgewiesen, obwohl der Port freigegeben ist

Beitrag von MSfree » 30.08.2022 15:32:26

_ash hat geschrieben: ↑ zum Beitrag ↑
30.08.2022 15:02:29
Damit sollte eigentlich der Port 20200 für SSH-Verbindungen offen sein.
Nein, wie auch. Ich sehe in deinen Regeln keine Zeile, in der 20200 vorkommt.

Naja, und einen Text auf eine Textkonsole auszugeben und diesen dann als Screenshot auf deine Cloud zu legen, halte ich für mindestens extrem kompliziert. Warum kopierst du nicht die paar Bytes hier nicht als Text rein? Wie man Text kopiert, weißt du ja offensichtlich, sonst wären deine Regeln hier auch als Screenshot gelandet,

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: iptables: Verbindungen werden abgewiesen, obwohl der Port freigegeben ist

Beitrag von mat6937 » 30.08.2022 15:40:41

_ash hat geschrieben: ↑ zum Beitrag ↑
30.08.2022 15:02:29
Ich habe per iptables Folgendes defininiert:

Code: Alles auswählen

*filter
# Allow SSH.
-A INPUT -i ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 22 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state ESTABLISHED --dport 22 -j ACCEPT

# Allow UDP traffic on port 1194.
-A INPUT -i ens3 -p udp -m state --state NEW,ESTABLISHED --dport 1194 -j ACCEPT
-A OUTPUT -o ens3 -p udp -m state --state ESTABLISHED --dport 1194 -j ACCEPT

# Allow DNS resolution and limited HTTP/S on ens3.
# Necessary for updating the server and keeping time.
-A INPUT -i ens3 -p udp -m state --state ESTABLISHED --dport 53 -j ACCEPT
-A OUTPUT -o ens3 -p udp -m state --state NEW,ESTABLISHED --dport 53 -j ACCEPT
-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --dport 53 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 53 -j ACCEPT

-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --dport 80 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 80 -j ACCEPT
-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --dport 443 -j ACCEPT
-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 443 -j ACCEPT

# then reject them.
-A INPUT -j REJECT
-A FORWARD -j REJECT
-A OUTPUT -j REJECT
BTW: Warum benutzt Du immer, in der INPUT- und in der OUTPUT-chain, den destination-Port (--dport)?

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: iptables: Verbindungen werden abgewiesen, obwohl der Port freigegeben ist

Beitrag von _ash » 30.08.2022 15:51:42

MSfree hat geschrieben: ↑ zum Beitrag ↑
30.08.2022 15:32:26
Nein, wie auch. Ich sehe in deinen Regeln keine Zeile, in der 20200 vorkommt.
Sorry, falschen Code kopiert, im Original steht

Code: Alles auswählen

-A INPUT -i ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 20200 -j ACCEPT
Naja, und einen Text auf eine Textkonsole auszugeben und diesen dann als Screenshot auf deine Cloud zu legen, halte ich für mindestens extrem kompliziert. Warum kopierst du nicht die paar Bytes hier nicht als Text rein? Wie man Text kopiert, weißt du ja offensichtlich, sonst wären deine Regeln hier auch als Screenshot gelandet,
Weil ich mich per noVNC auf den Server verbinden musste (weil ich mich per iptables offensichtlich ausgesperrt habe), und es sich aus diesem Browserfenster leider nicht kopieren lässt.
BTW: Warum benutzt Du immer, in der INPUT- und in der OUTPUT-chain, den destination-Port (--dport)?
Aus einem Tutorial kopiert ohne groß drüber nachzudenken. Beim OUTPUT sollte das wohl --sport heißen => damit geht es dann auch. Danke!

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: iptables: Verbindungen werden abgewiesen, obwohl der Port freigegeben ist

Beitrag von mat6937 » 30.08.2022 15:59:28

_ash hat geschrieben: ↑ zum Beitrag ↑
30.08.2022 15:51:42
Beim OUTPUT sollte das wohl --sport heißen ...
Beim SSH, ja. ... Aber auch beim DNS und HTTP(S), den source-Port in der OUTPUT-chain?

Antworten