• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Sind diese Iptables-Regeln in Ordnung?

Remad

Member
Hallo,
ich habe die Suse 9.0 Professional Distribution und habe darüber nachgedacht den Server zu schützen mit besonderen IPTABLE-Bedingungen. Ich traue mich jedoch nicht diese einzusetzen, weil ich Angst habe keine Verbindung mehr mit SSH herstellen zu können.
Schaut euch bitte meine Regeln an und sagt mir was falsch ist, wenn ihr was findet. Bitte korrigiert mich, wenn ihr falsches sehr. Sind die Regeln so korrekt?

iptables -A INPUT -d 62.75.138.71 -p pop3 -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p pop3s -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p smtp -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p ssh -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p ftp -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p http -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p https -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p tcp -f -j /ACCEPT
 

nbkr

Guru
Wie sind die Regeln für den Output? Bei den jetzigen Regel können zwar Daten rein, aber nicht unbedingt wieder raus. D.h. der Server kann nicht antworten.

Wenn das ein SuSE Server ist, dann kannst Du die Firewall auch über YaST einstellen. Das macht nichts anderes als iptables zu benutzen.

Übrigens sind die Regel die Du auf der Konsole mit "iptables ..." eingibst nicht dauerhaft. Das bedeutet wenn du den Server nicht mehr erreichen kannst lasse ihn neustarten und die Regeln sind wieder weg. Dein Hoster hat wahrscheinlich irgendeine Funktion mit der man den Server übers Netz neustarten lassen kann.
 

Martin Breidenbach

Ultimate Guru
Tip: wenn Du auf einem 'entfernten' Server an IPTables-Regeln 'bastelst' dann erstelle Dir vorher einen cron-Job der die IPTables-Regeln z.B. jede volle Stunde auf einen funktionierenden Default zurücksetzt. Wenn Du Dich selber ausgesperrt hast dann kommst Du darüber dann nach kurzer Zeit wieder rein. Wenn Deine IPtables-Regeln dann funktionieren dann kannst Du den cron-Job ja plätten.
 
OP
R

Remad

Member
Danke für eure Antworten.
nbkr, ich kann keine Firewall einsetzen, weil der Server in einem Datacenter ist, wo der Server nur virtuell ist (Virtual Environment), wenn ich da eine Firewall einstelle ist der Server nicht mehr zu erreichen.
Bei den jetzigen Regeln können zwar Daten rein, aber nicht unbedingt wieder raus. D.h. der Server kann nicht antworten.
Wie kann ich alle sonstigen Anfragen oder Antworten über andere Protokolle und Ports blockieren (alle Ports außer den geöffneten)? Wie müssen die Output-Regeln lauten, damit der Server auf die ganz oben genannten Anfragen antwortet? Wie sperre ich IP-Blöcke oder Bereiche z.B. von 65-69.1-255.1-255.1-255 ?

Vielen Dank im voraus.
 
Oben