Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

IPTables (Firewall) Script für euren Server

AW: IPTables (Firewall) Script für euren Server

@piti3322

D A N K E!!!!


Das wars...... :good:
 
AW: IPTables (Firewall) Script für euren Server

Und warum ist das auf einmal so ?


Gesendet von meinem iPhone mit Tapatalk
 
AW: IPTables (Firewall) Script für euren Server

Ist ein Fehler von mir im Script. Habe es nun gefixt. Da fehlte der Verweis IPT=/sbin/iptables
 
AW: IPTables (Firewall) Script für euren Server

Habe noch immer ein kleines Problem

Kann mir jemand noch sagen wie ich den VPN einzustellen habe?
Habe eine VPN-Verbindung via OpenVpn zu hide.me und der lauscht auf dem Port 3478 (UDP), mein cccam Port ist auf 23456 TCP
Der Tunnel ist auf tun0
wie muss ich den Port durchschleifen? Was müsste ich an dem Skript ändern das es keine Störungen gibt?
Für Hilfe wäre ich sehr dankbar komme nicht weiter....
 
Zuletzt bearbeitet:
Tolles Script meister85.. auch wenn es bei mir noch nicht so funktioniert
Ich habe es gestern schon mit IPTable Einträge schon nicht hinbekommen, deswegen hab ich es heute mit deinem Script versucht..
Der Port meines Oscam WebIF wird geblockt auf meinem OHV VPS..
Habe Port 144 als Oscam httpport festegelgt
Und in deinem Script natürlich auch angepasst
Code: 
# bestehende Verbindungen$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# OSCAM WEB
$IPT -A INPUT -i eth0 -p tcp --dport 144 -j ACCEPT
# CCCAM
#$IPT -A INPUT -i eth0 -p tcp --dport 12000 -j ACCEPT
# CCCAM WEB
#$IPT -A INPUT -i eth0 -p tcp --dport 16001 -j ACCEPT
# CS378X
#$IPT -A INPUT -i eth0 -p tcp --dport 12345-j ACCEPT
# CAMD35
#$IPT -A INPUT -i eth0 -p udp --dport 12345-j ACCEPT
iptables -L
Code: 
Chain INPUT (policy ACCEPT)target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:144
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:12000
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
DROP       icmp --  anywhere             anywhere             icmp echo-request


Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Dennoch ist Port 144 laut
Sie müssen registriert sein, um Links zu sehen.
nicht frei, und komme auch nicht aufs WebIf...
Hat jemand ne Idee?

Ne halbe Std später war der Port plötzlich frei, dauert das bis die Freigabe übernommen wird?
 
Zuletzt bearbeitet von einem Moderator:
AW: IPTables (Firewall) Script für euren Server

@UncleC

hast du wirklich eht0 als Schnittstelle? Bei meinem VPS heisst diese venet0:0
 
AW: IPTables (Firewall) Script für euren Server

habe das script installiert aber leider sperrt er mir die Ports nicht.

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH-extern
$IPT -A INPUT -i venet0:0 -p tcp --dport 7880 -j ACCEPT
# SSH-intern
$IPT -A INPUT -i tun0 -p tcp --dport 7880 -j ACCEPT
# OSCAM WEB-intern
$IPT -A INPUT -i tun0 -p tcp --dport 12080 -j ACCEPT
# OSCAM WEB-extern
$IPT -A INPUT -i venet0:0 -p tcp --dport 12080 -j DROP
# IPC extern
$IPT -A INPUT -i venet0:0 -p tcp --dport 2260 -j DROP
# IPC intern
$IPT -A INPUT -i tun0 -p tcp --dport 2255 -j ACCEPT
# CCCAM
$IPT -A INPUT -i venet0:0 -p tcp --dport 12300 -j ACCEPT
# CCCAM WEB
#$IPT -A INPUT -i eth0 -p tcp --dport 16001 -j ACCEPT
# CS378X
$IPT -A INPUT -i venet0:0 -p tcp --dport 34987 -j ACCEPT
# CAMD35
#$IPT -A INPUT -i eth0 -p udp --dport 12345 -j ACCEPT
# PING SPERRE
$IPT -A INPUT -i venet0:0 -j REJECT
# openvpn
$IPT -A INPUT -i venet0:0 -p udp --dport 1194 -j ACCEPT

Firewall und vpn habe ich bereits neu gestartet
 
AW: IPTables (Firewall) Script für euren Server

Hab auch das Problem das die Ports nicht gesperrt werden, die Ping sperre etc funktioniert..
Hab aber jetzt den Apache Port geändert zB 12345
Hab den Port 12345 eigentlich nicht freigegeben, kann aber dennoch über ip:12345 drauf zugreifen (In meinem fall das IPC Webif)

Code: 
#!/bin/sh### BEGIN INIT INFO
# Provides:          custom firewall
# Required-Start:    $remote_fs $syslog $network
# Required-Stop:     $remote_fs $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall initscript
# Description:       Custom Firewall
### END INIT INFO


IPT=/sbin/iptables


case "$1" in
start)


# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# ▒^▒ber Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# OSCAM WEB
#$IPT -A INPUT -i eth0 -p tcp --dport 16002 -j ACCEPT
# CCCAM
#$IPT -A INPUT -i eth0 -p tcp --dport 12000 -j ACCEPT
# CCCAM WEB
#$IPT -A INPUT -i eth0 -p tcp --dport 16001 -j ACCEPT
# CS378X
#$IPT -A INPUT -i eth0 -p tcp --dport 12345-j ACCEPT
# CAMD35
#$IPT -A INPUT -i eth0 -p udp --dport 12345-j ACCEPT
# PING SPERRE
#$IPT -A INPUT -i eth0 -j REJECT
# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;


stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;


restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;

iptables -L spuckt folgendes aus
Code: 
iptables -LChain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
DROP       icmp --  anywhere             anywhere             icmp echo-request


Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
           icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Hat sich da ein Fehler eingeschlichen?
 
Zuletzt bearbeitet:
AW: IPTables (Firewall) Script für euren Server

Auch oscam WebIf Port wird nicht geblockt..
Das Skript natürlich neugestartet, hat jemand ne Idee?
 
AW: IPTables (Firewall) Script für euren Server

gib mal ifconfig ein und poste das Ergebnis

ahja und du hast im script überall am anfang ein "#" dies bedeutet das der Befehl auskommentiert ist und diese Zeile wird dann nicht ausgeführt
 
AW: IPTables (Firewall) Script für euren Server

Hi,
@UncleC
bist du den sicher das eth0 bei dir die richtige Schnittstelle ist?
Sollte das bei einem VPS nicht eher venet0 oder 0:0 sein?

Gruß
janni1
 
AW: IPTables (Firewall) Script für euren Server

frodon schrieb:
gib mal ifconfig ein und poste das Ergebnis

ahja und du hast im script überall am anfang ein "#" dies bedeutet das der Befehl auskommentiert ist und diese Zeile wird dann nicht ausgeführt
Zum Vergrößern anklicken....
Das Ausrauten ist mir schon klar...
Aber in meinem Beispiel soll ja 12345 geblockt werden, weil keine Freigabe?!..
Und laut Ausgabe von ifconfig ist eth0 auch die richtige Schnittstelle:

Code: 
eth0      Link encap:Ethernet  HWaddr 00:12:34:56:78:9a          inet addr:xx.xxx.xxx.xx  Bcast:xx.xx.xx.255  Mask:255.255.255.0
          inet6 addr: xxxx::xxx:xxxx:xxxx:xxxx/xx Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:633761 errors:0 dropped:435 overruns:0 frame:0
          TX packets:20501 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:273333064 (260.6 MiB)  TX bytes:2533890 (2.4 MiB)


lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Eigtl alles richtig oder?
 
Zuletzt bearbeitet von einem Moderator:
AW: IPTables (Firewall) Script für euren Server

Selbst wenn ich das Script nicht nutze, und die Regel von Hand einfüge wird nichts geblockt

Code: 
Chain INPUT (policy ACCEPT)target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1234 #Mein geänderter SSH Port
ACCEPT     icmp --  anywhere             anywhere
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable


Chain FORWARD (policy ACCEPT)
target     prot opt source               destination


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Normal sollte ich doch dann das WebIf meiner Oscam nicht erreichen können mit dem port 12345 oder?..
Kann ich aber, also wird nix geblockt..
Kann mir von euch Linux Profis jemand helfen?
 
AW: IPTables (Firewall) Script für euren Server

Hi,
Kann es sein, dass erst durch diesen Eintrag in der Chain, überhaupt erstmal der Rest der Ports gesperrt wird?
Code: 
[I]# PING SPERRE 
$IPT -A INPUT -i eth0 -j REJECT[/I]
Mit der Ping-Sperre hat das glaub ich nichts zu tun.
Hatte das eben mal bei mir, ohne weiter zu überlegen, einzeln ausgeführt und Feierabend war.
iptables -A INPUT -i eth0 -j REJECT
Danach keine Verbindung mehr zum Server, alle Ports zu!!
Erst ein "iptables -F INPUT" über die Notfal-Konsole des Controlpanels hat den Server wieder entsperrt.

Die Pingsperre wäre denk ich dieser Eintrag
Code: 
# SICHERHEIT 
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

Also lange Rede...
Versuch einfach mal diese Zeile mit zu aktivieren
Code: 
[I]$IPT -A INPUT -i eth0 -j REJECT[/I]

Gruß
janni1
 
Zuletzt bearbeitet:
AW: IPTables (Firewall) Script für euren Server

so erstmal danke für script hat alles super funktioniert.

nun habe ich aber eine frage bei mir ist laut portscanner port 25 smtp offen kann ich den irgendwie zumachen?

noch eine frage.

ich habe openvpn auf meinem system zwischen raspi und vps server.

das problem ist das ich immer die firewall zuerst stoppen muss auf beiden openvpn neustarten und dann wieder die firewall aktivieren um eine verbindung zu bekommen.

hat da jemand einen tipp wo ich mal nachschauen kann?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

V
Support Hetzner Firewall bzw. Iptables will nicht so wie ich... wer kann helfen?
2
Antworten
18
Aufrufe
328
V13-Oscam
V
G
Support OpenScape Telefonanlage / IPtables
Antworten
6
Aufrufe
699
badabum2
B
OScam Start-Script
Antworten
7
Aufrufe
372
lovedirk
Support Zum diffen der inhaus Versionen
Antworten
0
Aufrufe
173
SaMMyMaster
Frage Firewall Port ändern?
Antworten
0
Aufrufe
1K
marixx
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…