IPTables (Firewall) Script für euren Server

[SR-88]

AW: IPTables (Firewall) Script für euren Server

Hey,

ich hätte auch mal eine Frage.

nano /etc/init.d/firewall

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Was genau ist der sinn hinter der Regel? Geht es drum alle Verbindungen die zum Zeitpunkt des starts der Firewall aktiv sind "in ruhe" zu lassen? Bin gerade am überlegen ob ich mich aussperre wenn ich diese Regel deaktiviere? Weil theoretisch habe ich doch SSh port usw freigegeben?!

Danke

Gruß

 

[etlam]

AW: IPTables (Firewall) Script für euren Server

wie wendet man den diese Fw an wenn man keine eth0 sondern iface venet0 inet hat ?

 

[janni1]

AW: IPTables (Firewall) Script für euren Server

Hi,
indem man im Script anstatt eth0, venet0 einsetzt.

Gruß
jannu1

 

[etlam]

AW: IPTables (Firewall) Script für euren Server

Janni das hatte ich gemacht doch da wird nix geblogt


Gesendet von meinem iPhone mit Tapatalk

 

[janni1]

AW: IPTables (Firewall) Script für euren Server

Hi,
im script definierst du am Anfang nur erstmal, welche Ports nicht geblockt werden sollen.
Erst mit dieser Zeile
$IPT -A INPUT -i venet0 -j REJECT
müßten die verbleibenden Ports geschlossen werden.

Zeig mal dein Script.

Gruß7
janni1

 

[etlam]

AW: IPTables (Firewall) Script für euren Server

hey hatte mich wohl vertippt es geht meine script wie folgt

IPT=/sbin/iptables


case "$1" in
start)


# bestehende Verbindungen
$IPT -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i venet0 -p tcp --dport 2256 -j ACCEPT
# OSCAM WEB
$IPT -A INPUT -i venet0 -p tcp --dport ***** -j ACCEPT
# CCCAM
$IPT -A INPUT -i venet0 -p tcp --dport ***** -j ACCEPT
# CCCAM WEB
$IPT -A INPUT -i venet0 -p tcp --dport 3334 -j ACCEPT
# CS378X
$IPT -A INPUT -i venet0 -p tcp --dport 12345 -j ACCEPT
# CAMD35
$IPT -A INPUT -i venet0 -p udp --dport 3333 -j ACCEPT
# PING SPERRE
$IPT -A INPUT -i venet0 -j REJECT
# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;


stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;


restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;


hoffe das ist so richtig

 

[janni1]

AW: IPTables (Firewall) Script für euren Server

Hi,
sieht gut aus.
Wenn du IPC drauf hast und auf dessen WebIf wölltest, würde noch ein offener Webport (apache2) fehlen.

Gruß
janni1

 

[UncleC]

AW: IPTables (Firewall) Script für euren Server

Hi,
sieht gut aus.
Wenn du IPC drauf hast und auf dessen WebIf wölltest, würde noch ein offener Webport (apache2) fehlen.

Gruß
janni1

Und de Apache Standartport am besten ändern =)

 

[janni1]

AW: IPTables (Firewall) Script für euren Server

Hi,
genau so ist das! :emoticon-0148-yes:
Wie es geht steht hier!
IPC-Server mit Debian zusätzlich absichern

Gruß
janni1

 

[night.knight]

AW: IPTables (Firewall) Script für euren Server

Warum ändert ihr eigentlich alle die Standard Ports? Das hilft im allgemeinen eigentlich gar nichts.

Denn ein Portscan dauert im Normalfall maximal 5 Minuten, und gibt mir auch einen SSH Zugang der auf Port 5543 liegt
an. Auch http Server werden auf allen Ports gefunden. Es wird sogar direkt angezeigt das IPC, CCcam, DreamWebinterface...
dahinter läuft. Selbst wenn ihr Passwörter setzt.

Alles was meiner Meinung nach wirklich hilft:

Komplexe Passwörter + Private Key + No root Login
Alle WebInterface (auch Oscam WebIf) Ports nur per SSH Tunnel
Apache (wenn ausschließlich für IPC gebraucht) nur auf 127.0.0.1 lauschen lassen und per SSH +Putty einen Tunnel aufbauen


Die ganze Portverschiebung lässt doch einen unerfahrenen User nur glauben er ist jetzt in Sicherheit und braucht
jetzt keine Passwörter mehr, weil er sein Port vom Dreambox Webinterface auf 40080 gelegt hat.

 

[jekahr]

AW: IPTables (Firewall) Script für euren Server

im normalfall macht sich keiner die mühe jede ip 5min lang komplett zu scannen, hier geht es eher um die bots die großflächig im einsatz sind.

 

[night.knight]

AW: IPTables (Firewall) Script für euren Server

Ja, und was hat er dann:

Eine IP mit einem offenen SSH Port bei dem er einen User, Key und ein Passwort braucht.

Da finde ich einen Offenes Webinterface der Dream auf Port 30000 wesentlich beunruhigender.
Zumal ich damit ja auch sämtliche Configs und Passwörter die dort gespeichert sind herunterladen kann.



Ich verstehe schon, das es gegen die Bots hilfreich ist die Ports nach oben zu verschieben und Firewalls & Co. einzurichten,
aber es muss auch klar und verständlich kommuniziert werden das es für NIEMANDEN eine Hürde darstellt der mehr
macht als einen IP Range Scan.

Viele Denken einfach:

"Ich benutz jetzt nen anderen Port und ne Firewall, also scheiß auf gute Passwörter. Wer kommt schon auf:
'12345', 'dreambox', 'qwertz' oder '696969'."


Mein anliegen war einfach, das bei den ganzen Port Verschiebungs Threads und Firewall Geschichten auch
dazu gesagt wird, das es keinerlei Anhebung der Sicherheit bringt, wenn nicht auch überall Komplexe Loginpasswörter
und Benutzernamen gewählt werden.

Edit:
Ich Scanne jeden Sharepartner (regelmäßig) komplett über die ganze Range.
Bei offenen Ports bei denen ich was anrichten könnte warne ich die Person einmal vor.
Bleiben die Ports oder Webinterfaces (einfach) angreifbar, lösche ich die Configs, und fahre das Remote System herunter.
Zudem beende ich das Verhältnis direkt.

 

[janni1]

AW: IPTables (Firewall) Script für euren Server

Hi,
es geht hier denk ich hauptsächlich um automatisch Portscanner (scripts), die offene Standartports abklappern.
Die müssen ja nun nicht ihre gesamten "Wörterbücher" auf diese Ports loslassen.
Wer sich allein durch Portverschieben in Sicherheit wiegt, der sollte lieber keinen Server nutzen oder er hat es nicht anders verdient.
Den Port letztendlich als FTP-,SSH- oder Webport zu erkennen ist ja an sich nicht schlimm, solange man halt an die anderen sicherheitsrelevanten Sachen gedacht hat.

Ist aber wie gesagt nur meine Meinung, andere denken da sicher anders darüber.

Gruß
janni1

 

[hoddelac]

AW: IPTables (Firewall) Script für euren Server

Hi, wie müsste das Script erweitert werden wenn mein Server auch über IPv6 erreichbar ist.

 

[kaaslord]

AW: IPTables (Firewall) Script für euren Server

Hier noch ein kleiner Anstoß um das Script mit fail2ban zu kombinieren um den SSH Port zusätzlich abzusichern.

fail2ban installieren

apt-get install fail2ban

jail.local anlegen

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

jail.local einstellen

nano /etc/fail2ban/jail.local

Gewünschte Werte anpassen

#Default
ignoreip = 127.0.0.1/8 #IP die ignoriert werden soll, mehrere durch Leerzeichen trennen
bantime  = 600 #Dauer des Bans in Sekunden
maxretry = 3 #Maximale Anzahl der Fehlerhaften Versuche

#Meine Einstellungen
bantime  = 1008000
maxretry = 3

Danach die gewünschten Jails anpassen z.B.

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

[ssh-ddos]

enabled  = true
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 3

Das Firewall-Script bearbeiten

#!/bin/sh
### BEGIN INIT INFO
# Provides:          custom firewall
# Required-Start:    $remote_fs $syslog $network
# Required-Stop:     $remote_fs $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall initscript
# Description:       Custom Firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
start)

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# OSCAM WEB
$IPT -A INPUT -i eth0 -p tcp --dport 16002 -j ACCEPT
# CCCAM
$IPT -A INPUT -i eth0 -p tcp --dport 12000 -j ACCEPT
# CCCAM WEB
$IPT -A INPUT -i eth0 -p tcp --dport 16001 -j ACCEPT
# CS378X
$IPT -A INPUT -i eth0 -p tcp --dport 12345-j ACCEPT
# CAMD35
$IPT -A INPUT -i eth0 -p udp --dport 12345-j ACCEPT
# PING SPERRE
$IPT -A INPUT -i eth0 -j REJECT
# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
[COLOR=#ff0000] service fail2ban start[/COLOR]
echo "Firewall wurde aktiviert, der Server ist geschützt"
[COLOR=#ff0000] service fail2ban status[/COLOR]
exit 0
;;

stop)
[COLOR=#ff0000]service fail2ban stop
$IPT -F INPUT
$IPT -F FORWARD
$IPT -F OUTPUT[/COLOR]
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
[COLOR=#ff0000] service fail2ban status[/COLOR]
exit 0
;;

restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;

*)
echo "Usage: $0 {start|stop|restart|reload|force-reload}"
exit 1
;;
esac

Fertig!

Wer den SSH-Port geändert hat, sollte dies natürlich im jeweiligen Jail auch anpassen.