PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 2 Fragen zu iptables



H4x0r007
05.08.2008, 00:12
Hi,

1. Frage:

Ich möchte den ts2perlmod in den iptables 1.3.6 einrichten. Mit diesem Befehl

iptables -A INPUT -p tcp --dport 51234 --source 127.0.0.1 -j ACCEPT
bei der Standardpolicy von INPUT (DROP) kann sich der Perlmod nicht verbinden. Der Perlmod liegt auf localhost und funktioniert bei der Policy ACCEPT.

2. Frage:

Ich möchte nur meine IP-Range für SSH zulassen. Standardpolicy für INPUT: DROP
Wie kann ich mit den iptables eine IP-Range blocken? Also z.B. 83.191.*.*? Ich habe bereits dies hier versucht:

iptables -A INPUT -p tcp --dport 22 --source 83.191.0.0-83.191.255.255 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 --source 83.191.0.0/83.191.255.255 -j ACCEPT

Immer gab es einen Fehler, bzw ich sperrte mich selbst aus

echoslider
08.08.2008, 17:22
also erstmal musst du vorher erstellte regeln löschen und default regeln erstellen.



# Tabelle flushen
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t mangle -X

# Default-Policies setzen
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
sudo iptables -t mangle -P FORWARD ACCEPT
sudo iptables -t mangle -P INPUT ACCEPT
sudo iptables -t mangle -P POSTROUTING ACCEPT



dann musst du alles erlaube was von deinem rechner an deinen rechner gerichtet ist.


# Loopback-Netzwerk-Kommunikation und LAN zulassen
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

für eingehende verbindungen. also wenn du nen webserver hast benutz das hier:


sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT


bei ausgehenden verbindungen. also wenn du selbst den browser benutzen willst und surfen willst.. den hier:


sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


hier dann wie man ips sperrt(ausgehend und eingehend)



sudo iptables -A INPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m
sudo iptables -A INPUT -d $badip -s $badip -j DROP
sudo iptables -A OUTPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m
sudo iptables -A OUTPUT -d $badip -s $badip -j DROP


wenn du ssh wirklich schützen willst. benutz knockd. du sperrst erstmal komplett den ssh port bzw gibts den oben erst garnicht frei.

bei knockd gibtste ne port reihenfolge an. knockd filtert raus ob diese ports in der richtigen reihenfolge angewählt wurden. wenn ja. kann ein code ausgeführt werden. der dann z.b deine ip erlaubt.