iptables konfigurieren

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

hans75

Neuer User
Mitglied seit
2 Mai 2009
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich bin dran iptables zu konfigurieren. Ich probierte folgende Beispiele: http://trac.freetz.org/wiki/packages/iptables aber ich sperre mich damit immer aus.
Da ich es über die GUI iptables-CGI einstelle (unter Einstellungen, iptables: Rules) sehen meine Regeln so aus:
Code: 
-N TRANS
-A TRANS -p tcp  -s 192.168.0.0/24 -m multiport --dport 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT
-A TRANS -p udp  -s 192.168.0.0/24 -m multiport --dport 53,67,68,80,123,5060 -j ACCEPT
-A TRANS -p icmp -s 192.168.0.0/24 -j ACCEPT
-A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
-A TRANS -j LOG --log-prefix "[IPT] DENY-LAN-ACCESS "          
-A TRANS -j DROP                                               
-A INPUT -p udp -s 0.0.0.0 -d 255.255.255.255 --sport 68 --dport 67 -j ACCEPT
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT                 
-A INPUT -s 192.168.0.0/24 -j ACCEPT                         
-A INPUT -s 169.254.0.0/16 -i lan -j ACCEPT                  
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOG --log-prefix "[IPT] DENY-FRITZ-ACCESS "      
-A INPUT -j DROP                                             
-P INPUT DROP                                                
-A OUTPUT -d 192.168.0.0/24 -j ACCEPT                        
-A OUTPUT -d 224.0.0.1/24 -j ACCEPT                          
-A OUTPUT -d 239.255.255.250 -j ACCEPT
-A OUTPUT -d 127.0.0.1 -j ACCEPT                             
-A OUTPUT -p udp -m multiport --dport 53,123,5060 -j ACCEPT  
-A OUTPUT -p tcp --dport 5060 -j ACCEPT                      
-A OUTPUT -p tcp --dport 80 -d 63.208.196.0/24 -j ACCEPT     
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT     
-A OUTPUT -d 212.42.244.73 -p tcp --dport 80 -j ACCEPT          
-P OUTPUT DROP

Hat schon jemand diesen Bsp. ausprobiert?

Ich benutze die FB 7170 mit Freetz 1.0.3

Danke!
 
Die Frage hat mit iptables zu tun und wenig mit Freetz, da iptables sich auf der Box befindet und anscheinend läuft.

Trotzdem, welche IP-Adresse hat Deine Box und Dein Netzwerk?
 
Hallo,
die Box hat die Adresse 192.168.1.1
LAN hat 192.168.1.5 bis 10
WLAN 192.168.2.20 bis 22

Oh, dann muss ich 192.168.0.0/24 in 192.168.1.1/24 ändern...
 
Zuletzt bearbeitet:
Schön, wenn sich Probleme von allein lösen mit dem richtigen Denkanstoss...
 
Hallo,
ich hab nun die IP Adressen geändert, aber alles was mit Logging zu tun hatte raus geschmissen. Kann man das Logging auf einen USB Stick umleiten?

Eine Erklärung zur Regel TRANS konnte ich nirgendwo finden, was macht diese genau?
 
hans75 schrieb:
Eine Erklärung zur Regel TRANS konnte ich nirgendwo finden, was macht diese genau?
Zum Vergrößern anklicken....
Das ist ein selbst gebastelter Regelsatz (erstellt über iptables -N TRANS und mit Rules gefüttert über iptables -A TRANS ...). Die Namensgebung ist willkürlich, Du kannst TRANS auch durch HANS ersetzen. Mit den Settings in Deinem Ausgangsposting passiert mit dem TRANS-Regelwerk überhaupt nichts: Die Rules werden nicht angewendet, weil Du sie nirgendwo in eine Standard-Chain eingebunden hast (in dem Beispiel im Wiki passiert das über den Befehl iptables -A FORWARD -j TRANS).

So, mehr Denkanstöße zu iptables lasse ich besser sein, damit Silent Tears nicht zu Noisy Tears mutiert :-Ö
 
Wenn Du nicht weißt, was die Regeln tun, solltest Du sie am Besten weglassen.

Das Beispiel von cando zeigt eher, was man machen kann, als daß es eine Vorlage wäre, die man verwenden sollte, ohne zu wissen, was es bedeutet.

Wenn Du keinen konkreten Grund hast, warum Du iptables verwenden willst, solltest Du es ganz weglassen. Und wenn Du einen konkreten Grund hast, dann solltest Du herausfinden, welche Regeln Du dazu brauchst, nicht etwas abschreiben, von dem Du nicht weißt, was es tut.
 
Vielen Dank!

Der Grung für iptables ist, mehr Sicherheit im Netz zu haben. Ich will es erst mal standartmässig konfigurieren und immer weiter verfeinern. Aller Anfang ist schwer....
WLAN von LAN abzutrennen hat schon mal geklappt (dank Wiki).
 
Da ich das Wiki zu iptables verzapft habe - antworte ich mal auf den Thread.

Das Beispiel zeigt, was man so alles mit iptables anstellen kann anhand eines Regelwerkes in dem die häufigsten Protokolle berücksichtigt sind.

Es gibt 2 Möglichkeiten, sich einer Firewall zu nähern.

1. ) subtraktiv

Also man stellt die Firewall default auf permit und fängt schrittweise an, Ports / Ipadressen etc mit Regeln zu blocken (DROP) von Dingen, die man nicht haben will.

Das hilft beim Lernen, was eine Firewall macht - das Ergebnis ist aber unsicher - da nur bekannte Gefahren geblockt werden. Alles andere funktioniert aber ungehindert.


2.) additiv

Das ist etwas komplizierter am Anfang - das Ergebnis ist eine hohe Sicherheit

Zunachst macht man eine INPUT Regel für den Admin - PC, die den Zugang auf die Box erlaubt (INPUT CHAIN für die ssh ports, dns, web-ui und OUTPUT Chain für die Antwortpakete zum Amin PC)

Danach sperrt man per DEFAULT Regeln alle chains (INPUT, OUTPUT, FORWARD)

Damit ist nur noch eine Kommunikation zwischen Box und Admin PC möglich.

Dann baut man in jeder Chain eine LOG Regel ein und versucht nacheinander die Dienste, die man braucht. Im Log sieht man, welche Ports verwendet werden und kann so Schritt für Schritt das nötige Regelwerk durch Einfügen von ACCEPT-Regeln vor der LOG-Regel erstellen - bis alles funktioniert, wie man es haben will. Alles Andere bleibt geblockt und wird protokolliert.

So ist auch das Beispiel in der Wiki entstanden.

Ab und zu sollte man sich das Protokoll vornehmen und schauen, ob man noch was vergessen hat oder was man alles für unerwünschten Verkehr so erwischt hat. Wenn man häufige Agriffe von innen und aussen auf bestimmte Ports und/oder Adressen feststellt, kann man DROP Regeln zusätzlich einfügen, um den Log zu entlasten und zu verhindern, versehentlich diese Bedrohungen durch künftige Regeln zuzulassen.
 
Zuletzt bearbeitet:
Vielen Dank cando!!


Nur noch eine Frage zum logging.
Ich kann die Datei /etc/syslog.conf nicht finden, wie funktioniert dann das Logging?
 
Welche Box hast Du denn?

Variante 1: Syslogd (musst Du als Paket mit einbauen). (Boxen ohne DECT oder mit Patch für syslog)

Variante 2: für 7270 und ähnliche mit DECT: nhipt Paket bietet eigene Log-Funktionen
 
Ich hab die 7170.
Dann kommt wohl Variante 1 für mich in Frage.
Danke!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 445 (Mitglieder: 15, Gäste: 430)

Neueste Beiträge

Statistik des Forums

Themen
246,512
Beiträge
2,253,335
Mitglieder
374,329
Neuestes Mitglied
Ingo2208
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück