Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

Firewall funktioniert nicht mehr

Tutenchamun1

Stamm User
Registriert
11. November 2013
Beiträge
1.041
Lösungen
3
Reaktionspunkte
295
Punkte
263
Ort
Afrika
Hallo

Mir ist aufgefallen, das die Firewall meines Servers nicht mehr funktioniert. Ich nutze eine Igel UD5 noch mit Debian Jessie und IPC 11.6.

Ich weiß nicht wie lange das schon so ist, das die Firewall nicht richtig läuft. Ich habe es bemekrt als ich von aussen auf das Webif von IPC gegangen bin. Ich kam ohne Probleme drauf obwohl es geschützt sein müsste.

Hier der Auszug der "iptables -L":

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "ssh Port"
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "Oscam Webif"
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "cccam Port"
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "oscam port"
DROP icmp -- anywhere anywhere icmp echo-request

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere


Was könnte das Problem sein? Ich habe vor 1-2 Jahren Debian geupdatet von Freezy auf Jessie. Hat es eventuell damit zu tun?
 
Nach Datum sortieren Nach Stimmen sortieren
Hi @Birch,
Die CHAIN INPUT regelt alles was sich direkt mit deinem Server verbinden möchte. Durch policy ACCEPT wird erstmal jede Verbindung erlaubt. Wählt man diesen Modus, also "Erstmal alles erlauben und im Anschluss gezielt etwas verbieten", müsste man Regern definieren, die gezielt Verbindungen REJECT'n oder DROP'n ... wobei REJECT die feinere englische Art wäre.
Deine Regeln erlauben zusätzlich den Zugriff auf die Dienste mit den Ports (für ssh, Oscam Webif, cccam Port, oscam port) obwohl eh alles erlaubt ist.
Lediglich ein "PING" (ICMP) wird am Ende verboten ... da die Regeln von oben nach unten abgearbeitet werden und die Erste die passt angewendet wird und das Regelwerk direkt verläßt, wird auch nicht zum Zuge kommen.
 
Positive Stimme 0 Negative Stimme
Hi @Birch,
kann ich dir nicht sagen ... in der Fassung blockt das Skript nichts ... heute sowie vor 20 Jahren ...
Wenn du zB den Zugriff auf das "OSCAM WEB" sperren möchtest, dann mache aus dem "ACCEPT" ein "REJECT" bei der "OSCAM WEB"-Regel.
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
Hi @Birch,
ok, wie schon erwähnt, erlaubt "Chain INPUT (policy ACCEPT)" erst mal alles; und im Anschluss wird nichts geblockt.
Dann sollte man die Policy der INPUT-Chain auf DROP setzen, d.h. vor dieser Zeile "# bestehende Verbindungen" diesen Befehl setzen: $IPT -P INPUT DROP

P.S. wenn man an den Firewall-Regeln rumexperimentiert, dann sollte man sich immer ein Hintertürchen offen halten, falls mal eine Regel schief geht und sich dadurch vom Server ausschließen sollte.
 
Positive Stimme 0 Negative Stimme
habe $IPT -P INPUT DROP vor der zeile "# bestehende Verbindungen" gesetzt. jetzt habe ich kein zugang mehr über ssh.

das kapiere ich nciht. wenn die iptables mit als erstes $IPT -P INPUT DROP alles schließt und dann danach die Ports erlaubt werden folgend, dann müsste doch alles so sein wie ich es haben möchte. Aber mekrwürdigerweise ist der ssh Port gesperrt. ich raffe es nicht.
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
Wurde der SSH Port mal umgelegt bzw. passt der angegebene SSH-Port im Firewall-Skript zum Port, den der ssh daemon tatsächlich nutzt?
Auf die anderen Ports wie "OSCAM WEB" kann man zugreifen?
 
Positive Stimme 0 Negative Stimme
Hi @Birch,
mit $IPT -P INPUT ACCEPT bzw. /sbin/iptables -P INPUT ACCEPT auf der Konsole gibt man erstmal wieder alles frei .. den Befehl sollte man auch in den "stop)"-Abschnitt packen.
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
sorry jetzt verstehe ich gar nichts mehr. ich habe den Befehl so wie du es geschrieben hast vor der Zeile "# bestehende Verbindungen" gepackt. Jetzt ist im Prinzip alles gesperrt. Jetzt soll ich was im abschnitt stop ändern? aber wofür ? Es geht doch um den Start der Firewall. Steige da jetzt nicht durch. Kannst du dir das script anschauen und entsprechend ändern so wie du es meinst ?
 
Positive Stimme 0 Negative Stimme
Hi @Birch,
wenn man die Firewall stoppt, dann werden die Regeln der INPUT-Chain gelöscht; sprich die Freigaben ... die Policy DROP (alles ist verboten) bleibt erhalten und somit hat man sich ausgesperrt.

So habe ich mir die Änderung vorgestellt.

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Nachtrag:
Mir ist gerade noch der Befehl aufgefallen
# PING SPERRE
$IPT -A INPUT -i eth0 -j REJECT
Zum Vergrößern anklicken....
.. wegen dem Kommentar habe ich mir den nicht genau angesehen .. der verbietet alle Verbindungen die vor diesem Befehl nicht erlaubt wurden, d.h. wenn die Regel wirken würde, dann wäre auch Port 80 gesperrt, solange sich hinter "*****" keine 80 versteckt. ... diese Regel sieht man aber bei der Ausgabe von iptables -L nicht. Ist die Ausgabe von "iptables -L" vollständig und das Skript so 1:1 im Einsatz?
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frage Firewall Port ändern?
Antworten
0
Aufrufe
1K
marixx
M
Firewall Script
Antworten
0
Aufrufe
820
maxiking32
M
G
  • Angepinnt
Ubuntu / Debian Server Sicherheit
Antworten
0
Aufrufe
4K
GTD Bastion
G
automatischer HardReboot wenn Firewall gestartet wurde
Antworten
1
Aufrufe
974
KLPsAUGER
Firewall Vserver
Antworten
2
Aufrufe
1K
matze1677
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…