Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Sind diese Iptables-Regeln in Ordnung?

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Remad
Member
Member
Beiträge: 75
Registriert: 22. Mai 2004, 19:08
Wohnort: Flensburg / Hamburg
Kontaktdaten:

Sind diese Iptables-Regeln in Ordnung?

Beitrag von Remad »

Hallo,
ich habe die Suse 9.0 Professional Distribution und habe darüber nachgedacht den Server zu schützen mit besonderen IPTABLE-Bedingungen. Ich traue mich jedoch nicht diese einzusetzen, weil ich Angst habe keine Verbindung mehr mit SSH herstellen zu können.
Schaut euch bitte meine Regeln an und sagt mir was falsch ist, wenn ihr was findet. Bitte korrigiert mich, wenn ihr falsches sehr. Sind die Regeln so korrekt?

iptables -A INPUT -d 62.75.138.71 -p pop3 -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p pop3s -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p smtp -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p ssh -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p ftp -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p http -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p https -f -j /ACCEPT
iptables -A INPUT -d 62.75.138.71 -p tcp -f -j /ACCEPT
Benutzeravatar
nbkr
Guru
Guru
Beiträge: 2857
Registriert: 10. Jul 2004, 15:47

Beitrag von nbkr »

Wie sind die Regeln für den Output? Bei den jetzigen Regel können zwar Daten rein, aber nicht unbedingt wieder raus. D.h. der Server kann nicht antworten.

Wenn das ein SuSE Server ist, dann kannst Du die Firewall auch über YaST einstellen. Das macht nichts anderes als iptables zu benutzen.

Übrigens sind die Regel die Du auf der Konsole mit "iptables ..." eingibst nicht dauerhaft. Das bedeutet wenn du den Server nicht mehr erreichen kannst lasse ihn neustarten und die Regeln sind wieder weg. Dein Hoster hat wahrscheinlich irgendeine Funktion mit der man den Server übers Netz neustarten lassen kann.
Kann gar nicht sein, ich bin gefürchtet Wald aus, Wald ein.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Tip: wenn Du auf einem 'entfernten' Server an IPTables-Regeln 'bastelst' dann erstelle Dir vorher einen cron-Job der die IPTables-Regeln z.B. jede volle Stunde auf einen funktionierenden Default zurücksetzt. Wenn Du Dich selber ausgesperrt hast dann kommst Du darüber dann nach kurzer Zeit wieder rein. Wenn Deine IPtables-Regeln dann funktionieren dann kannst Du den cron-Job ja plätten.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Remad
Member
Member
Beiträge: 75
Registriert: 22. Mai 2004, 19:08
Wohnort: Flensburg / Hamburg
Kontaktdaten:

Beitrag von Remad »

Danke für eure Antworten.
nbkr, ich kann keine Firewall einsetzen, weil der Server in einem Datacenter ist, wo der Server nur virtuell ist (Virtual Environment), wenn ich da eine Firewall einstelle ist der Server nicht mehr zu erreichen.
Bei den jetzigen Regeln können zwar Daten rein, aber nicht unbedingt wieder raus. D.h. der Server kann nicht antworten.
Wie kann ich alle sonstigen Anfragen oder Antworten über andere Protokolle und Ports blockieren (alle Ports außer den geöffneten)? Wie müssen die Output-Regeln lauten, damit der Server auf die ganz oben genannten Anfragen antwortet? Wie sperre ich IP-Blöcke oder Bereiche z.B. von 65-69.1-255.1-255.1-255 ?

Vielen Dank im voraus.
Antworten