Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

IPTables (Firewall) Script für euren Server

AW: IPTables (Firewall) Script für euren Server

Hey,

ich hätte auch mal eine Frage.

meister85 schrieb:
Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Zum Vergrößern anklicken....

Was genau ist der sinn hinter der Regel? Geht es drum alle Verbindungen die zum Zeitpunkt des starts der Firewall aktiv sind "in ruhe" zu lassen? Bin gerade am überlegen ob ich mich aussperre wenn ich diese Regel deaktiviere? Weil theoretisch habe ich doch SSh port usw freigegeben?!

Danke

Gruß
 
AW: IPTables (Firewall) Script für euren Server

wie wendet man den diese Fw an wenn man keine eth0 sondern iface venet0 inet hat ?
 
AW: IPTables (Firewall) Script für euren Server

Hi,
indem man im Script anstatt eth0, venet0 einsetzt.

Gruß
jannu1
 
AW: IPTables (Firewall) Script für euren Server

Janni das hatte ich gemacht doch da wird nix geblogt


Gesendet von meinem iPhone mit Tapatalk
 
AW: IPTables (Firewall) Script für euren Server

Hi,
im script definierst du am Anfang nur erstmal, welche Ports nicht geblockt werden sollen.
Erst mit dieser Zeile
$IPT -A INPUT -i venet0 -j REJECT
müßten die verbleibenden Ports geschlossen werden.

Zeig mal dein Script.

Gruß7
janni1
 
AW: IPTables (Firewall) Script für euren Server

hey hatte mich wohl vertippt es geht meine script wie folgt

IPT=/sbin/iptables


case "$1" in
start)


# bestehende Verbindungen
$IPT -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i venet0 -p tcp --dport 2256 -j ACCEPT
# OSCAM WEB
$IPT -A INPUT -i venet0 -p tcp --dport ***** -j ACCEPT
# CCCAM
$IPT -A INPUT -i venet0 -p tcp --dport ***** -j ACCEPT
# CCCAM WEB
$IPT -A INPUT -i venet0 -p tcp --dport 3334 -j ACCEPT
# CS378X
$IPT -A INPUT -i venet0 -p tcp --dport 12345 -j ACCEPT
# CAMD35
$IPT -A INPUT -i venet0 -p udp --dport 3333 -j ACCEPT
# PING SPERRE
$IPT -A INPUT -i venet0 -j REJECT
# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;


stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;


restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;


hoffe das ist so richtig
 
AW: IPTables (Firewall) Script für euren Server

Hi,
sieht gut aus.
Wenn du IPC drauf hast und auf dessen WebIf wölltest, würde noch ein offener Webport (apache2) fehlen.

Gruß
janni1
 
AW: IPTables (Firewall) Script für euren Server

Warum ändert ihr eigentlich alle die Standard Ports? Das hilft im allgemeinen eigentlich gar nichts.

Denn ein Portscan dauert im Normalfall maximal 5 Minuten, und gibt mir auch einen SSH Zugang der auf Port 5543 liegt
an. Auch http Server werden auf allen Ports gefunden. Es wird sogar direkt angezeigt das IPC, CCcam, DreamWebinterface...
dahinter läuft. Selbst wenn ihr Passwörter setzt.

Alles was meiner Meinung nach wirklich hilft:

Komplexe Passwörter + Private Key + No root Login
Alle WebInterface (auch Oscam WebIf) Ports nur per SSH Tunnel
Apache (wenn ausschließlich für IPC gebraucht) nur auf 127.0.0.1 lauschen lassen und per SSH +Putty einen Tunnel aufbauen


Die ganze Portverschiebung lässt doch einen unerfahrenen User nur glauben er ist jetzt in Sicherheit und braucht
jetzt keine Passwörter mehr, weil er sein Port vom Dreambox Webinterface auf 40080 gelegt hat.
 
AW: IPTables (Firewall) Script für euren Server

im normalfall macht sich keiner die mühe jede ip 5min lang komplett zu scannen, hier geht es eher um die bots die großflächig im einsatz sind.
 
AW: IPTables (Firewall) Script für euren Server

Ja, und was hat er dann:

Eine IP mit einem offenen SSH Port bei dem er einen User, Key und ein Passwort braucht.

Da finde ich einen Offenes Webinterface der Dream auf Port 30000 wesentlich beunruhigender.
Zumal ich damit ja auch sämtliche Configs und Passwörter die dort gespeichert sind herunterladen kann.



Ich verstehe schon, das es gegen die Bots hilfreich ist die Ports nach oben zu verschieben und Firewalls & Co. einzurichten,
aber es muss auch klar und verständlich kommuniziert werden das es für NIEMANDEN eine Hürde darstellt der mehr
macht als einen IP Range Scan.

Viele Denken einfach:

"Ich benutz jetzt nen anderen Port und ne Firewall, also scheiß auf gute Passwörter. Wer kommt schon auf:
'12345', 'dreambox', 'qwertz' oder '696969'."


Mein anliegen war einfach, das bei den ganzen Port Verschiebungs Threads und Firewall Geschichten auch
dazu gesagt wird, das es keinerlei Anhebung der Sicherheit bringt, wenn nicht auch überall Komplexe Loginpasswörter
und Benutzernamen gewählt werden.

Edit:
Ich Scanne jeden Sharepartner (regelmäßig) komplett über die ganze Range.
Bei offenen Ports bei denen ich was anrichten könnte warne ich die Person einmal vor.
Bleiben die Ports oder Webinterfaces (einfach) angreifbar, lösche ich die Configs, und fahre das Remote System herunter.
Zudem beende ich das Verhältnis direkt.
 
AW: IPTables (Firewall) Script für euren Server

Hi,
es geht hier denk ich hauptsächlich um automatisch Portscanner (scripts), die offene Standartports abklappern.
Die müssen ja nun nicht ihre gesamten "Wörterbücher" auf diese Ports loslassen.
Wer sich allein durch Portverschieben in Sicherheit wiegt, der sollte lieber keinen Server nutzen oder er hat es nicht anders verdient.
Den Port letztendlich als FTP-,SSH- oder Webport zu erkennen ist ja an sich nicht schlimm, solange man halt an die anderen sicherheitsrelevanten Sachen gedacht hat.

Ist aber wie gesagt nur meine Meinung, andere denken da sicher anders darüber.

Gruß
janni1
 
AW: IPTables (Firewall) Script für euren Server

Hi, wie müsste das Script erweitert werden wenn mein Server auch über IPv6 erreichbar ist.
 
AW: IPTables (Firewall) Script für euren Server

Hier noch ein kleiner Anstoß um das Script mit fail2ban zu kombinieren um den SSH Port zusätzlich abzusichern.

fail2ban installieren
Code:
Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

jail.local anlegen
Code:
Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

jail.local einstellen
Code:
Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Gewünschte Werte anpassen
Code:
Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Danach die gewünschten Jails anpassen z.B.
Code:
Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Das Firewall-Script bearbeiten
Code:
Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Fertig!

Wer den SSH-Port geändert hat, sollte dies natürlich im jeweiligen Jail auch anpassen.
 

Ähnliche Themen

marixx
Frage Firewall Port ändern?
Antworten
0
Aufrufe
1K
marixx
marixx
Tutenchamun1
  • Gelöst
Firewall funktioniert nicht mehr
2
Antworten
26
Aufrufe
3K
Tutenchamun1
Tutenchamun1
S
Verb. per RAS mit vpn
Antworten
1
Aufrufe
1K
skyerjoe
S
H
  • Gesperrt
HD+ hell, Sky dunkel, Log meldet "not found"... was kann ich noch tun?
Antworten
10
Aufrufe
765
hutzlerfoogy
H
elogugu
Support Simple how-to raspberry pi - openvpn - gateway - pihole - iptables NAT
Antworten
0
Aufrufe
4K
elogugu
elogugu
Zurück
Oben