iptables script ?? |
||
|---|---|---|
| #0
| ||
|
13.03.2004, 20:09
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
14.03.2004, 11:07
Moderator
 Beiträge: 6466 |
#2
Keine Antwort auf deine Frage.
Was mir auffällt: Zitat iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPTEs ist mir neu, dass ICMP-Nachrichten einen Zustand haben !? Vom Syntax her ist das sicher richtig, aber ob das -vom Protokoll her betrachtet- Sinn macht... ich denke "nein". Warum ist Port 110 "sichtbar" ? Im Moment sehe ich keinen Grund dafür  __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
17.03.2004, 16:59
...neu hier
Beiträge: 2 |
#3
Hi,
also auf annhieb kann ich da auch keinen grund erkennen, warum der portscan die 110 anzeigt. Dürfte nicht sein, da du die policy auf drop gesetzt hast. Hier mal mein kl. script hoffe es hilft dir weiter ansonsten schau unter <a href="http://www.setcookie.de">setcookie.de</a> da findest du einige gute links zu diesem thema. Gruss Smoky <pre> # Diese Firewall wurde in zusammenarbeit mit # smoky geschrieben. # Wie immer bitte ich drum, wenn jemand weiss wie es # besser geht, mir zu mailen # Alle Regeln loeschen iptables -F iptables -t nat -F iptables -X /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # Logs iptables -N LOGONLY iptables -A LOGONLY -j LOG --log-prefix "IPTABLES packet log : " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A LOGONLY -j ACCEPT iptables -N LOGDROP iptables -A LOGDROP -j LOG --log-prefix "IPTABLES packet kill: " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A LOGDROP -j DROP iptables -N UNKNOWNINPUT iptables -A UNKNOWNINPUT -j LOG --log-prefix "IPTABLES unknown input: " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A UNKNOWNINPUT -j DROP iptables -N UNKNOWNFORWARD iptables -A UNKNOWNFORWARD -j LOG --log-prefix "IPTABLES unknown forward: " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A UNKNOWNFORWARD -j DROP # Standard # Pakete an lokale Prozesse # Policy (Standardverhalten): Paket ververfen iptables -P INPUT DROP # Eingehende Pakete nur von innen oder wenn zu einer bestehenden verbindung iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Pakete die geroutet werden loeschen iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Nur HTTP, HTTPS, POP3 und SMTP forwarden # HTTP FORWARD iptables -A FORWARD -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT #PORT 8080 iptables -A FORWARD -m tcp -p tcp --dport 8080 -m state --state NEW -j ACCEPT # HTTPS FORWARD iptables -A FORWARD -m tcp -p tcp --dport 443 -m state --state NEW -j ACCEPT # POP3 FORWARD iptables -A FORWARD -m tcp -p tcp --dport 110 -m state --state NEW -j ACCEPT # SMTP FORWARD iptables -A FORWARD -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT # FTP FORWARD iptables -A FORWARD -m tcp -p tcp --dport 20:21 -m state --state NEW -j ACCEPT # NESSUS iptables -A FORWARD -m tcp -p tcp --dport 1241 -m state --state NEW -j ACCEPT iptables -A FORWARD -m udp -p udp --dport 1241 -m state --state NEW -j ACCEPT # E m u l e FORWARD iptables -I FORWARD 1 -p tcp --dport 4661:4665 -j ACCEPT iptables -I FORWARD 1 -p tcp --sport 4661:4665 -j ACCEPT iptables -I FORWARD 1 -p udp --dport 4661:4665 -j ACCEPT iptables -I FORWARD 1 -p udp --sport 4661:4665 -j ACCEPT # KAZAA FORWARD iptables -A FORWARD -p tcp --sport 1024: --dport 1214 -j ACCEPT iptables -A FORWARD -p tcp --sport 1214 --dport 1024: ! --syn -j ACCEPT #ICMP FORWARD erlauben iptables -A FORWARD -m state --state NEW -p icmp -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Paketweiterleitung iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE # Pakete von lokalen Prozessen iptables -P OUTPUT ACCEPT # Bestimmte dienste duerfen eine verbindung oefnen # SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 22 -m state --state NEW -j ACCEPT # HTTP iptables -A INPUT -p tcp -i ppp0 --dport 80 -m state --state NEW -j ACCEPT # HTTPS iptables -A INPUT -p tcp -i ppp0 --dport 443 -m state --state NEW -j ACCEPT # PGSQL iptables -A INPUT -p tcp --dport 5432 -m state --state NEW -j ACCEPT # MYSQL iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -j ACCEPT # HTTP FORWARD & HTTPS iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 443 -j DNAT --to 192.168.0.2:443 # ICMP (Eingehende Pings und Portscans etc.) iptables -A INPUT -p icmp -s 127.0.0.1 -j ACCEPT iptables -A INPUT -p icmp -s 192.168.0.0/24 -j LOGONLY iptables -A INPUT -p icmp -i ppp0 -m state --state ESTABLISHED,RELATED -j LOGONLY iptables -A INPUT -p icmp -i ppp0 -m state --state ! ESTABLISHED,RELATED -j LOGDROP iptables -A INPUT -j UNKNOWNINPUT iptables -A FORWARD -j UNKNOWNFORWARD echo 1 > /proc/sys/net/ipv4/ip_forward </pre> |
|
|
|
|
|
|
17.03.2004, 17:51
Member
 Beiträge: 5291 |
#4
@lehrling
Zitat iptables -A INPUT -i eth0 -p tcp --dport 110 -j DROPdu kannst dich nicht selbst scannen (was du vermutlich getan hast). Der kernel nimmt immer die kürzeste route in diesem fall lo / localhost. Wenn du von du über die eth0 nic scannen würdest würdest du auch keine Antwort bekommen weil du ja DROP eingestellt hast. Zitat iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROPdiese Regeln sind sinnlos und verschwenderisch da INPUT ja sowieso von der Policy auf drop steht. Zitat iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPTWie Joschi schon sagte, ich glaube auch du wolltest da eher tcp statt icmp reinschreiben. @smoky Du kannst in dem Board keinen HTML code nutzen, also nutze doch einfach den board code. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
17.03.2004, 18:17
Moderator
Beiträge: 6466 |
||
|
|
|
|
|
17.03.2004, 18:35
Member
Beiträge: 5291 |
#6
@joschi
Naja oder er hat von aussen (also vom Internet aus) gescannt - wenn die Maschine wie mir scheint direkt mit dem Internet verbunden ist, ist eth0 vielleicht in diesem Sinne falsch - besser dann vielleicht ppp0? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
17.03.2004, 19:01
Moderator
Beiträge: 6466 |
||
|
|
|
|
....Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe meinen linux-server mit folgendem iptables script versehen:
iptables -F INPUT
iptables -F OUTPUT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -i eth0 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m limit --limit 1/s --dport 0:65535 -j LOG --log-prefix "tcp connection: "
iptables -A INPUT -i eth0 -p udp -m limit --limit 1/s --dport 0:65535 -j LOG --log-prefix "udp connection: "
iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP
die Ports 110 und 25 sollten jetzt doch dicht sein oder?
wenn ich von aussen mit einem portscanner scanne, sind di ports immer noch vorhanden.
WIESO????
ich bin für jeden tip dankbar !!!
DANKE!!
Gruß
Lehrling