Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=f5cf638caa383703e0ea628250f6d3e1 profile.php?mode=register&sid=f5cf638caa383703e0ea628250f6d3e1 faq.php?sid=f5cf638caa383703e0ea628250f6d3e1 memberlist.php?sid=f5cf638caa383703e0ea628250f6d3e1 search.php?sid=f5cf638caa383703e0ea628250f6d3e1 index.php?sid=f5cf638caa383703e0ea628250f6d3e1

Foren-Übersicht » Netzwerksicherheit » iptables Script Gehe zu Seite 1, 2  Weiter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
iptables Script
BeitragVerfasst am: 06.01.2006 23:19 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Hier mal mein iptables Script. Diejenigen, die sich da auskennen, können sich ja mal äußern.

Code:

#iptables-Script

#Module laden
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_nat

#Routing aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward

#TCP Syncookies aktivieren
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#RST bei vollem Buffer senden
echo "1" > /proc/sys/net/ipv4/tcp_abort_on_overflow

#TCP FIN,ACK Timeout
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout

#Verbindungsaufbau nach 3 SYN-Anfragen unterbrechen
echo "3" > /proc/sys/net/ipv4/tcp_syn_retries

#Keine Redirection
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

#Kein Source-Routing
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

#ICMP Broadcasts ignorieren
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Killt Pakete aus dem Adressraum 0.X.X.X
echo "0" > /proc/sys/net/ipv4/conf/all/bootp_relay

#Killt gespoofte Pakete
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Alle Regeln löschen
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F DROPKETTE
iptables -X DROPKETTE

#Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Loopback-Kommunikation immer erlauben
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#Lokale Kommunikation immer erlauben
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

#Logging-Kette
iptables -N DROPKETTE
iptables -A DROPKETTE -j LOG -m limit --limit 5/s --log-prefix "Blockiert:"
iptables -A DROPKETTE -j DROP

#ICMP eingehend
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type timestamp-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type timestamp-request -j ACCEPT

#ICMP ausgehend
iptables -A OUTPUT -p icmp -j ACCEPT

#Server-Ports freigeben
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Ausgehende Services zulassen
iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#Antworten hergestellter Verbindungen
iptables -A INPUT -p tcp --sport 20:21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

#ICQ
iptables -A OUTPUT -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT -p tcp --sport 5190 -j ACCEPT

#Passives FTP mit folgenden Servern zulassen
iptables -A OUTPUT -p tcp -d 83.133.51.34 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 83.133.51.34 --sport 1024:65535 -j ACCEPT

#Unzulässige Pakete loggen
iptables -A INPUT -j DROPKETTE
iptables -A FORWARD -j DROPKETTE
iptables -A OUTPUT -j DROPKETTE


Geloggt werden alle verworfenen Pakete, um das später analysieren zu können.

Eingehende Verbindungen werden nur sehr begrenzt zugelassen; an ausgehenden Verbindungen erlaube ich die Dienste, welche ich benötige.

Aufgrund der Tatsache, dass PassiveFTP einen Zufallsport höher 1024 auf dem Server benötigt und ich nicht alles nach außen freigeben will, habe ich das Ganze auf einen Server beschränkt, den ich für FTP brauche.

ICMP-Nachrichten, die ich für wichtig halte, lasse ich eingehend zu - nach außen hin wird ICMP komplett zugelassen.

Ich freue mich auf eure Anregungen.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 07.01.2006 02:19 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Hmm.... was soll ich dazu großartig sagen?
Das Script hast du im cb-Forum schon gepostet und da positives Feedback von den Leuten erhalten, die sich mit iptables auskennen...
Ich hab mich noch nie damit befasst... (Muss ich nachholen^^)
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 07.01.2006 10:25 Antworten mit Zitat
DeKarlsQuell
Anmeldedatum: 04.01.2006
Beiträge: 36




/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j DROP

Ich hab was gegen Pings... Rolling Eyes
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 07.01.2006 13:57 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

das einzige was ich ändern würde ist, ich würde den absoluten Pfad(so wie es DeKarlsQuell macht) zu iptables benutzen und am besten mit Variabel arbeiten, somit sind änderungen leichter vorzunehmen, aber bei der Größe dieses iptables scriptes ist noch nicht unbedingt notwendig.

Wenn man mit Variabeln arbeitet, dann am besten so:
IPT=$(which iptables) #dadurch wird der Pfad zu iptables gefunden auch wenn das Script plötzlich auf einer anderen Distribution läuft.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 07.01.2006 14:09 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Ja, das mit dem Pfad sollte ich mal machen.

Zitat:
Ich hab was gegen Pings.


Naja, kann ich nicht nachvollziehen. Ich habe dazu auch schon in anderen Foren Diskussionen gehabt.

Was bringt es dir Pings zu verwerfen?

Einem Script-Kiddie bringt es überhaupt nichts wenn es dich anpingen kann.

Und jemand, der sich halbwegs auskennt, sieht auch mit einem Portscan, dass du online bist.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 07.01.2006 14:17 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

hab mir ein Buch zu iptables Bestellt um mich mit dieser Materie weiter zu beschäftigen und hoffe dort eine vernünftige Lösung zu finden, die es auch Portscannern erschwert, meine Ports zu scannen.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 07.01.2006 14:36 Antworten mit Zitat
DeKarlsQuell
Anmeldedatum: 04.01.2006
Beiträge: 36




Zitat:
Was bringt es dir Pings zu verwerfen?

Wenn jetzt z.B jemand die IP-Range abscannt (z.B mit einem Security-Scanner) in der sich mein Server befindet und bei vielen Scanner ist es so, dass sie wenn kein ICMP "echo" bekommen weiter zum nächsten Ziel wechseln und so werden meine Snort-Logfiles nicht so voll gespammt.
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 07.01.2006 14:40 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Jedem seine Meinung, ob er ICMP akzeptiert, zurückweist oder ignoriert.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 07.01.2006 15:28 Antworten mit Zitat
DeKarlsQuell
Anmeldedatum: 04.01.2006
Beiträge: 36




Noch als Anmerkung zum Tehma ICMP blocken: Nur ICMP Typ 8,0 blocken
(Echo, Echo reply) da Normalerweise von jedem Router/Server/PC
erwartet wird das er das ICM Protokoll unterstützt, da die anderen ICMP- Typen zur Diagnose usw verwendet werden. Zwar kann man mit den
meisten der anderen ICMP-Typen auch Attacken durchführen, diese sind
aber meistens zu schwer durchzuführen und die ganzen Script-Kiddys
können sie nicht.
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 07.01.2006 15:30 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Ich sehe bei den Typen Echo Request und Echo Reply keine Angriffsmöglichkeiten. Wenn jemand mich durch einen Massenping einer IP-Range online sieht und dann diverse Ports scannt, soll er glücklich werden - das bringt ihm auch nichts.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 15.08.2006 09:06 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Hi,

die ganzen Netzwerksicherheitseinstellungen, wie z.B. redirections, source routing usw., können zum einen wie oben geändert werden:

Code:
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects


Dadurch wird der Kernelparameter bis zum nächsten Neustart verändert; dann wird er mit dem Script neu gesetzt.

Da mir das Firewall-Script aber nun zu lang wurde (das oben ist ja etwas veraltet und auf dem Server ist es etwas länger), habe ich das nun mit sysctl gelöst.

Per "sysctl -A" kann man sich alle Optionen und Werte auflisten lassen; z.B. redirections: "sysctl -A | grep accept_redirects". Gesetzt werden sie dann per "sysctl -w option=wert" -> weitere Informationen: man sysctl

Der Vorteil liegt nun an der /etc/sysctl.conf, die beim Systemstart automatisch ausgewertet wird und somit nur editiert werden muss.

Hier mal ein Beispiel:

Code:
#                                                                             
# /etc/sysctl.conf - Configuration file for setting system variables         
# See sysctl.conf (5) for information.                                       
                                                                             
net/ipv4/icmp_echo_ignore_broadcasts=1                                       
net/ipv4/icmp_ignore_bogus_error_responses=1                                 
net/ipv4/conf/all/accept_redirects=0                                         
net/ipv4/conf/all/secure_redirects=0                                         
net/ipv4/conf/all/send_redirects=0                                           
net/ipv4/conf/all/forwarding=0                                               
net/ipv4/tcp_syncookies=1                                                     
net/ipv4/log_martians=1                                                       
net/ipv4/rp_filter=1                                                         
net/ipv4/accept_source_route=0                                               
net/ipv4/tcp_abort_on_overflow=1                                             
net/ipv4/tcp_fin_timeout=30                                                   
net/ipv4/tcp_syn_retries=3


Somit hat man wieder Platz für die eigentlichen Firewall-Regeln im iptables-Script.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Re: iptables Script
BeitragVerfasst am: 20.07.2007 17:10 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

auch wenn der Thread schon angestaubt ist, möchte ich dennoch ein paar Anregungen los werden.

Cerox hat Folgendes geschrieben:

Code:

#iptables-Script
...

#Server-Ports freigeben
iptables -A INPUT -p tcp --dport 22 -j ACCEPT



Kommen wir zunächst zum Punkt Services die angeboten werden, hier bietet es sich das ganze wie folgt zu lösen:
Code:

IPT=/sbin/iptables
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

Dabei werden hier nur neue Verbindungen auf Port 22 zugelassen und falls man nun vorhat noch weitere Services anzubieten kann man ganz leicht ohne viel Aufwand weitere Ports freigeben:
Code:

IPT=/sbin/iptables
$IPT -A INPUT -p tcp -m multiport --dport 22,80,443 -m state --state NEW -j ACCEPT

wenn man nun weitere Pakete die zu dieser Verbindung gehören auch erlauben möchte, so kann man dies ganz einfach mit einem Befehl abklären:
Code:

IPT=/sbin/iptables
$IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

somit bleibt das Script weiterhin sehr übersichtlich.


Cerox hat Folgendes geschrieben:

Code:

#Ausgehende Services zulassen
iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#Antworten hergestellter Verbindungen
iptables -A INPUT -p tcp --sport 20:21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT



Nun auch hier kann man noch was fein Tuning durchführen:

Code:

IPT=/sbin/iptables

#Ausgehende Services zulassen
$IPT -A OUTPUT -p tcp -m multiport --dport 20,21,22,,25,80,110,443 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport --dport 53 -m state --state NEW -j ACCEPT

#Antworten hergestellter Verbindungen
$IPT -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT


Somit ist das ganze wesentlich übersichtlicher und man hat Zeilen gespart.
Weiterhin kann man, falls man z.B. mehrer User auf dem System hat oder Services anbietet wie z.B. Apache dem User Apache das Aufbauen einer Verbindung mit dem Owner-Match unterbinden:
Code:

IPT=/sbin/iptables

#Ausgehende Services nur für duddits zulassen
UID=$(id -u duddits)
$IPT -A OUTPUT -m owner --uid-owner $UID -m state --state NEW -j ACCEPT

# Der Webserver Apache darf keine Verbindung aufbauen
UID=$(id -u apache)
$IPT -A OUTPUT -m owner --uid-owner $UID -m state --state NEW -j REJECT



Cerox hat Folgendes geschrieben:

Code:

#Passives FTP mit folgenden Servern zulassen
iptables -A OUTPUT -p tcp -d 83.133.51.34 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 83.133.51.34 --sport 1024:65535 -j ACCEPT


An sich ist das zwar in Ordnung, jedoch sollte man als Ziel-Port nur 21 angeben, da sich das Modul ip_conntrack_ftp darum kümmert und erkennt welche Pakete zu dieser Verbindung gehören.
Die Technik die Hierbei zum Einsatz kommt, nennt sich Stateful_Inspection und wird bei Iptables durch das oben genannten Modul aktiviert.
Also um z.B. Verbindungen auf einen FTP-Server, ob dieser nun aktives oder passives FTP einsetzt spielt dabei keine Rolle, zu erlauben, kann man wie folgt vorgehen:
Code:

IPT=/sbin/iptables
MODPROBE=/sbin/modprobe

$MODPROBE ip_conntrack_ftp

$IPT -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



Weiterhin würde ich das Modul ip_nat_ftp nicht laden, sofern kein NAT durchgeführt wird. Wenn der FTP-Server schon fest steht, so sollte man diesen natürlich bei der Regel berücksichtigen, wie du es oben schon gemacht hattest.

Gruß Daniel


Zuletzt bearbeitet von duddits am 21.07.2007 02:05, insgesamt einmal bearbeitet

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 20.07.2007 18:14 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Danke für die Anregungen; das macht das ganze doch wesentlich kürzer, wenn ich mal wieder mit iptables arbeite. Mal ein paar Fragen, die sich so beim Durchlesen ergeben haben; ausprobiert habe ich davon nichts. Ich lebe also jetzt nur in einer theoretischen Welt Smile

Zitat:
Somit ist das ganze wesentlich übersichtlicher und man hat Zeilen gespart.


Zitat:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Wozu lässt du denn oben neue Verbindungen zu und hier sowieso bereits hergestellte? Dann kannst du doch genauso bei deiner multiport-Zeile den Verbindungsstatus weglassen. Das zum Thema Zeilen sparen.

Zitat:
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT


Das kann ich nicht nachvollziehen; du möchtest doch ausgehende FTP-Verbindungen erlauben, oder nicht? Wieso gibst du dann deinen lokalen FTP-Kontrollport frei?

Zitat:
$IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT


Hiermit lässt du wieder alle Verbindungen, welche bereits hergestellt wurden, sowohl eingehend als auch ausgehend, zu, wodurch einige Zeilen oben wieder überflüssig werden.

Zum eigenen FTP-Server:

Das Modul ip_conntrack_ftp habe ich geladen (wie oben zu sehen), jedoch musste ich die passiven Ports trotzdem freigeben, wenn ich nicht alle hergestellten Verbindungen erlauben möchte. Ich habe beim ProFTPd irgendwann angefangen, die Direktive "PassivePorts" zu verwenden, wodurch man nicht alle Ports über 1024 freigeben muss.

Naja, hab lange nichts mehr mit iptables gemacht und hoffe mal, dass ich jetzt nicht totalen Mist erzählt habe...
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 21.07.2007 02:22 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

ich hatte mich da wohl verschrieben natürlich sollte es bei FTP so aussehen:
Code:
$IPT -A OUTPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT


Damit ist es mir möglich mich mit jeden FTP-Server zu verbinden (natürlich müssen irgendwo im Script auch folgende Befehle auftauchen:
$MODPROBE ip_conntrack_ftp
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT)

Zitat:
Wozu lässt du denn oben neue Verbindungen zu und hier sowieso bereits hergestellte? Dann kannst du doch genauso bei deiner multiport-Zeile den Verbindungsstatus weglassen. Das zum Thema Zeilen sparen.


Damit das Connection Tracking funktioniert muss zunächst für einen bestimmten Port in der entsprechenden Kette neue Verbindungen(-m state --state NEW -j ACCEPT) freigegeben werden und mit -m state --state ESTABLISHED,RELATED -j ACCEPT werden Verbindungen die im Zusammenhang (Related) oder halt direkt zur Verbindung gehören (Established) erlaubt.

Jeder meiner Code Schnippsel ist bzw. soll unabhängig voneinander sein, daher tretten Wiederholungen von bestimmten Befehlen auf.

Nunja um nochmal zum FTP zu sprechen zu kommen, geht es hier um den FTP-Server der selber bei dir steht und durch Iptlabes eingeschränkt bzw. geschützt werden soll oder das du dich mit einem verbindes?

Gruß
Daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 21.07.2007 10:14 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




In meinem letzten Abschnitt geht es um einen eigenen FTP-Server, der auf dem selben Server wie der Paketfilter läuft. Wie ich schon sagte, möchte ich nicht, alle hergestellten Verbindungen erlauben; daher erlaube ich eine gewisse Portrange für den FTP-Server (PassivePorts Direktive beim ProFTPd Server).

Zitat:
Damit das Connection Tracking funktioniert muss zunächst für einen bestimmten Port in der entsprechenden Kette neue Verbindungen(-m state --state NEW -j ACCEPT) freigegeben werden und mit -m state --state ESTABLISHED,RELATED -j ACCEPT werden Verbindungen die im Zusammenhang (Related) oder halt direkt zur Verbindung gehören (Established) erlaubt.


Mag ja sein, aber:

Zitat:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Mit dieser Zeile beispielsweise, lässt du alle Pakete zu, die zu einer bereits hergestellten Verbindung gehören, nicht nur FTP-Pakete. Ich habe die Zeile schon früher immer für die Output-Tabelle verwendet, und dann mit "--state NEW" die entsprechenden ausgehenden Dienste definiert, welche erlaubt sein sollen.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
iptables Script
Foren-Übersicht » Netzwerksicherheit
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 2  
Gehe zu Seite 1, 2  Weiter
  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum