Firewall funktioniert nicht mehr

[Tutenchamun1]

Hallo

Mir ist aufgefallen, das die Firewall meines Servers nicht mehr funktioniert. Ich nutze eine Igel UD5 noch mit Debian Jessie und IPC 11.6.

Ich weiß nicht wie lange das schon so ist, das die Firewall nicht richtig läuft. Ich habe es bemekrt als ich von aussen auf das Webif von IPC gegangen bin. Ich kam ohne Probleme drauf obwohl es geschützt sein müsste.

Hier der Auszug der "iptables -L":

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "ssh Port"
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "Oscam Webif"
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "cccam Port"
ACCEPT tcp -- anywhere anywhere tcp dpt:***** "oscam port"
DROP icmp -- anywhere anywhere icmp echo-request

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere


Was könnte das Problem sein? Ich habe vor 1-2 Jahren Debian geupdatet von Freezy auf Jessie. Hat es eventuell damit zu tun?

 

[dewildschwein500]

Hi,
da fehlt der Anfang der INPUT Chain ... evtl. den Befehl nochmal posten; gibt nur die INPUT Chain aus: iptables -nvL INPUT --line-numbers
Stell' die Policy mal wieder auf Accept => /sbin/iptables -P INPUT ACCEPT
.. dann sollte wieder alles erreichbar sein .. auch Port 80.
Wird dieser Befehl angenommen? /sbin/iptables -A INPUT -i eth0 -j REJECT .. den vermisse ich im Screeny.

 

[Tutenchamun1]

habe jetzt erstmal nur das erste ausgeführt. hier der screenshot

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[dewildschwein500]

ok .. der Eintrag für /sbin/iptables -A INPUT -i eth0 -j REJECT ist doch da ... ist quasi Zeile 7.
Stell mal die Policy auf ACCEPT, dann sollte eigentlich alles klappen ... wäre aber noch zu prüfen, wieso die der Eintrag bei der Ausgabe von "iptables -L" in Post #1 nicht aufgetaucht ist.

 

[Tutenchamun1]

habe ich gemacht, den server rebootet und jetzt ist wieder alles gesperrt

oh sorry. kann ich dir sagen, hatte zwischenzeitlich noch was anders probiert und habe diesen befehl noch in die iptables zugefügt:

$IPT -A INPUT -i eth0 -j REJECT

das steht am ende und lässt alle restlichen ports sperren.

aber anscheined bringt es auch nichts. ich weiß nicht mehr weiter

 

[dewildschwein500]

Hi @Birch,
die Ausgangssituation, bei der alles erreichbar ist, also SSH, die OSCam Ports und auch Port 80 vom IPC, bekommst du aber wieder hergestellt? Sollte ja nur das Entfernen von $IPT -P INPUT DROP sein.

Nachtragfrage: Das Interface heißt auch eth0?

 

[Tutenchamun1]

Ich habe das jetzt dort eingefügt. jetzt klappts. Vielleicht hatte es wie von dir vermutet mit eth0 zu tun.

Spoiler: Firewall

$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# bestehende Verbindungen
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH
$IPT -A INPUT -p tcp --dport ***** -j ACCEPT
# OSCAM WEB
$IPT -A INPUT -p tcp --dport ***** -j ACCEPT
# CCCAM
$IPT -A INPUT -p tcp --dport ****** -j ACCEPT
# OSCAM
$IPT -A INPUT -p tcp --dport ****** -j ACCEPT
# CS378X
#$IPT -A INPUT -p tcp --dport 12345-j ACCEPT
# CAMD35
#$IPT -A INPUT -p udp --dport 12345-j ACCEPT
# PING SPERRE
$IPT -A INPUT -j REJECT
$IPT -A INPUT -j DROP

Vielen Dank

 

[dewildschwein500]

Hi @Birch,
mit dem Befehl kann man sich die Interface-Namen ausgegeben lassen: ip a s | grep "UP" | awk '{print $2}' | cut -d ':' -f1
... verkehrt wäre es nicht, wenn man das Interface in den Regeln angibt.

 

[Tutenchamun1]

lo
enp4s6

Das zeigt er dann an.

 

[dewildschwein500]

Hi @Birch,
dann scheint sich der Name der Netzwerkschnittstelle im Laufe der Zeit von eth0 zu enp4s6 geändert zu haben.

 

[Tutenchamun1]

Frage: Warum ist es nicht verkehrt den Namen des Interfaces dort mit anzugeben? Ohne Name gilt es doch im Prinzip für jede Netzwerkkarte egal welchen Name. Und ich nutze in der Regel nur eine Netzwerkkarte. ;-) oder was ist daran ev.besser das so zu definieren?

Gesendet von meinem SM-G930F mit Tapatalk

 

[dewildschwein500]

Hi @Birch,
man definiert damit die Regel ganz klar für ein Interface bzw. für welche "Richtung" die Regel bestimmt ist. Bei einer Netzwerkkarte im System spielt es natürlich keine Rolle.

 

[Tutenchamun1]

Ok dann lasse ich es so. Vielen Dank für deine Hilfe

Gesendet von meinem SM-G930F mit Tapatalk