2 Fragen zu iptables

[H4x0r007]

Hi,

1. Frage:

Ich möchte den ts2perlmod in den iptables 1.3.6 einrichten. Mit diesem Befehl

Code:

iptables -A INPUT -p tcp --dport 51234 --source 127.0.0.1 -j ACCEPT

bei der Standardpolicy von INPUT (DROP) kann sich der Perlmod nicht verbinden. Der Perlmod liegt auf localhost und funktioniert bei der Policy ACCEPT.

2. Frage:

Ich möchte nur meine IP-Range für SSH zulassen. Standardpolicy für INPUT: DROP
Wie kann ich mit den iptables eine IP-Range blocken? Also z.B. 83.191.*.*? Ich habe bereits dies hier versucht:

Code:

iptables -A INPUT -p tcp --dport 22 --source 83.191.0.0-83.191.255.255 -j ACCEPT

Code:

iptables -A INPUT -p tcp --dport 22 --source 83.191.0.0/83.191.255.255 -j ACCEPT

Immer gab es einen Fehler, bzw ich sperrte mich selbst aus

[echoslider]

also erstmal musst du vorher erstellte regeln löschen und default regeln erstellen.

Code:

    # Tabelle flushen
    sudo iptables -F
    sudo iptables -t nat -F
    sudo iptables -t mangle -F
    sudo iptables -X
    sudo iptables -t nat -X
    sudo iptables -t mangle -X

    # Default-Policies setzen
    sudo iptables -P INPUT DROP
    sudo iptables -P OUTPUT DROP
    sudo iptables -P FORWARD DROP
    sudo iptables -t nat -P PREROUTING ACCEPT
    sudo iptables -t nat -P POSTROUTING ACCEPT
    sudo iptables -t nat -P OUTPUT ACCEPT
    sudo iptables -t mangle -P PREROUTING ACCEPT
    sudo iptables -t mangle -P OUTPUT ACCEPT
    sudo iptables -t mangle -P FORWARD ACCEPT
    sudo iptables -t mangle -P INPUT ACCEPT
    sudo iptables -t mangle -P POSTROUTING ACCEPT

dann musst du alles erlaube was von deinem rechner an deinen rechner gerichtet ist.

Code:

    # Loopback-Netzwerk-Kommunikation und LAN zulassen
    sudo iptables -A INPUT -i lo -j ACCEPT
    sudo iptables -A OUTPUT -o lo -j ACCEPT

für eingehende verbindungen. also wenn du nen webserver hast benutz das hier:

Code:

    sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT

    sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT

bei ausgehenden verbindungen. also wenn du selbst den browser benutzen willst und surfen willst.. den hier:

Code:

    sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT

    sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

hier dann wie man ips sperrt(ausgehend und eingehend)

Code:

    sudo iptables -A INPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m
    sudo iptables -A INPUT -d $badip -s $badip -j DROP
    sudo iptables -A OUTPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m
    sudo iptables -A OUTPUT -d $badip -s $badip -j DROP

wenn du ssh wirklich schützen willst. benutz knockd. du sperrst erstmal komplett den ssh port bzw gibts den oben erst garnicht frei.

bei knockd gibtste ne port reihenfolge an. knockd filtert raus ob diese ports in der richtigen reihenfolge angewählt wurden. wenn ja. kann ein code ausgeführt werden. der dann z.b deine ip erlaubt.