AW: IPTables (Firewall) Script für euren Server
Also, ich habe dann doch nochmal 2 Nächte Zeit mit der Geschichte verbracht, da die Lösung mir bisher nicht ganz zufriedenstellend erschien.
Das Ergebnis ist (so glaube ich) der bessere Weg zum Ziel. Bei dem bisherigen Script war die DNS-Auflösung nicht mehr gegeben und auch die CHAINS waren nach wie vor ACCEPT!
File erstellen
Inhalt in das erstellte File kopieren
Hinweis 1: eth1 natürlich durch euer verwendetes Interface ersetzen.
Hinweis 2: Wer natürlich sein System oder Programme aktualisieren möchte sollte auch ausgehend Port 80 öffnen!
Hinweis 3: Auf Wunsch werde ich bekannte SSH Bot IP-Ranges gerne weiter aktulisieren. Wer auch das nicht haben mag, einfach löschen.
WICHTIG: Die Chains werden hier auf Drop geändert, also einmal ausgesperrt bleibt auch ausgesperrt! Darum vor dem ersten Start lieber einen Testlauf machen.
TESTLAUF: Zweite SSH-Verbindungs zum Server aufbauen, folgendes eingeben und mit der ersten SSH-Verbindung prüfen ob die Verbindung noch da ist.
Dieser Befehl schaltet die Firewall nach einem 60 Sekunden Testlauf wieder ab. Falls ihr ausgesperrt werdet, einfach eine Minute warten.
Woran erkennt man es ausgesperrt worden zu sein? Im ersten SSH Fenster kann man nichts mehr machen!
Symlink anlegen
Zum starten dann einfach "fw2 (start|stop|restart|reload|force reload)"
EDIT: Sorry da war noch ein Fehler bei den eingehenden ICMP drin
$iptables -I OUTPUT -o eth1 -p ICMP --icmp-type echo-request -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth1 -p ICMP --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT
Sonst gibts keine Antwort auf Ping und das könnte Böse für KeepAlive enden
Also, ich habe dann doch nochmal 2 Nächte Zeit mit der Geschichte verbracht, da die Lösung mir bisher nicht ganz zufriedenstellend erschien.
Das Ergebnis ist (so glaube ich) der bessere Weg zum Ziel. Bei dem bisherigen Script war die DNS-Auflösung nicht mehr gegeben und auch die CHAINS waren nach wie vor ACCEPT!
File erstellen
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Inhalt in das erstellte File kopieren
Hinweis 1: eth1 natürlich durch euer verwendetes Interface ersetzen.
Hinweis 2: Wer natürlich sein System oder Programme aktualisieren möchte sollte auch ausgehend Port 80 öffnen!
Hinweis 3: Auf Wunsch werde ich bekannte SSH Bot IP-Ranges gerne weiter aktulisieren. Wer auch das nicht haben mag, einfach löschen.
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
WICHTIG: Die Chains werden hier auf Drop geändert, also einmal ausgesperrt bleibt auch ausgesperrt! Darum vor dem ersten Start lieber einen Testlauf machen.
TESTLAUF: Zweite SSH-Verbindungs zum Server aufbauen, folgendes eingeben und mit der ersten SSH-Verbindung prüfen ob die Verbindung noch da ist.
Dieser Befehl schaltet die Firewall nach einem 60 Sekunden Testlauf wieder ab. Falls ihr ausgesperrt werdet, einfach eine Minute warten.
Woran erkennt man es ausgesperrt worden zu sein? Im ersten SSH Fenster kann man nichts mehr machen!
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Symlink anlegen
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Zum starten dann einfach "fw2 (start|stop|restart|reload|force reload)"
EDIT: Sorry da war noch ein Fehler bei den eingehenden ICMP drin
$iptables -I OUTPUT -o eth1 -p ICMP --icmp-type echo-request -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth1 -p ICMP --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT
Sonst gibts keine Antwort auf Ping und das könnte Böse für KeepAlive enden
Zuletzt bearbeitet: