SuSE 10.0 Firewall auf vServer

Dieses Thema im Forum "Firewalls" wurde erstellt von marcus1907, 24.11.2006.

  1. #1 marcus1907, 24.11.2006
    Zuletzt bearbeitet: 22.09.2009
    marcus1907

    marcus1907 Grünschnabel

    Dabei seit:
    24.11.2006
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo!

    Ich habe einen vServer bei 1blu. Leider gibt es da Probleme mit der Firewall unter Plesk 8, dort kann ich die Firewall gar nicht aktivieren.

    Bei der SuSE Firewall gibt es scheinbar auch ein Problem, wenn ich alles konfiguriert habe und die Firewall starte übernimmt SUSE zum Teil die Regeln nur und ich erhalten folgende Meldung im Log:

    Code:
    Nov 24 02:23:57 v31326 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. 
    Nov 24 02:23:57 v31326 SuSEfirewall2: batch committing... 
    Nov 24 02:23:57 v31326 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables 
    Nov 24 02:23:58 v31326 SuSEfirewall2: Firewall rules set to CLOSE. 
    Nov 24 02:23:58 v31326 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. 
    Nov 24 02:23:58 v31326 SuSEfirewall2: Setting up rules from /etc/sysconfig/SuSEfirewall2 ... 
    Nov 24 02:23:58 v31326 SuSEfirewall2: batch committing... 
    Nov 24 02:23:58 v31326 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables 
    Nov 24 02:23:59 v31326 SuSEfirewall2: Firewall rules successfully set 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. 
    Nov 24 02:24:05 v31326 SuSEfirewall2: batch committing... 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Firewall rules unloaded. 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. 
    Nov 24 02:24:05 v31326 SuSEfirewall2: batch committing... 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Firewall rules set to CLOSE. 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. 
    Nov 24 02:24:05 v31326 SuSEfirewall2: Setting up rules from /etc/sysconfig/SuSEfirewall2 ... 
    Nov 24 02:24:06 v31326 SuSEfirewall2: batch committing... 
    Nov 24 02:24:06 v31326 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables 
    Nov 24 02:24:06 v31326 SuSEfirewall2: Firewall rules successfully set 
    Nov 24 02:26:42 v31326 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. 
    Nov 24 02:26:42 v31326 SuSEfirewall2: batch committing... 
    Nov 24 02:26:42 v31326 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables 
    
    Was kann ich tun?

    marcus1907
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Mach dir einfach ein eigenes Firewall-Skript und deaktiviere die SuSE-Firewall. Das folgende Skript lässt nur Zugriff auf SSH und den Webserver (Port 80) zu und lässt sich ziemlich einfach erweitern.
    Code:
    #!/bin/bash
    
    echo "Starting firewall"
    
    LOGLIMIT=20
    IPTABLES=/usr/sbin/iptables
    
    case "$1" in
    start)
            # alle alten Regeln entfernen
            echo "Loesche alte Regeln"
            $IPTABLES -F
            $IPTABLES -X
            $IPTABLES -t nat -F
            # Routing
            # echo 1 > /proc/sys/net/ipv4/ip_forward
            # $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
            # $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
            ### ERSTELLE NEUE KETTEN ###
            # Kette fuer's Logging von verworfenen Paketen
            $IPTABLES -N LOGREJECT
            $IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
            $IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
    
            ### PROC MANIPULATION ###
            # auf Broadcast-Pings nicht antworten
            echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
            # halt die Klappe bei komischen ICMP Nachrichten
            echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
            # Kicke den ganzen IP Spoofing Shit
            # (Source-Validierung anschalten)
            echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
            # Setze Default-TTL auf 61 (Default fuer Linux ist 64)
            echo 61 > /proc/sys/net/ipv4/ip_default_ttl
            # sende RST-Pakete wenn der Buffer voll ist
            echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
            # warte max. 30 secs auf ein FIN/ACK
            echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
            # unterbreche Verbindungsaufbau nach 3 SYN-Paketen
            # Default ist 6
            echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
            # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
            # Default ist 6
            echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
    
            ### MAIN PART ###
            $IPTABLES -P INPUT DROP
            $IPTABLES -P FORWARD DROP
            $IPTABLES -P OUTPUT ACCEPT
            $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
            # im Loopback koennen wir jedem trauen
            $IPTABLES -A INPUT -i lo -j ACCEPT
            # erlaube Pings
            $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
            # erlaube SSH
            $IPTABLES -A INPUT -p tcp --dport 22 --tcp-flags ALL SYN -j ACCEPT
            # Webserver
            $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
            # Alle TCP Packete, die bis hier hin kommen, werden
            # geloggt und rejected
            # Der Rest wird eh per Default Policy gedroppt...
            $IPTABLES -A INPUT -p tcp -j LOGREJECT
            $IPTABLES -A FORWARD -p tcp -j LOGREJECT
            ;;
    *)
            echo "Usage: `basename $0` {start}" >&2
            exit 64
            ;;
    esac
    
    exit 0 
    
     
Thema:

SuSE 10.0 Firewall auf vServer

Die Seite wird geladen...

SuSE 10.0 Firewall auf vServer - Ähnliche Themen

  1. Opensuse 13.1 yast Firewall.....

    Opensuse 13.1 yast Firewall.....: Hi Guys, ich versuche gerade mal die Firewall einzurichten mit Masquarading das ich den ganzen internet verkehr von meinem Router WANs Port ans...
  2. SuSEFirewall SIP

    SuSEFirewall SIP: Guten Abend, ich habe folgende Problematik: Ich kann von einem interen Telefon an einer TK-Analge auf ein SIP-Endgerät anrufen. Ich höre...
  3. Firewall unter opensuse 11.1 konfigurieren

    Firewall unter opensuse 11.1 konfigurieren: Hi, also ich werd jetzt bald wahnsinnig. Ich hab opensuse 11.1 am laufen, das Netzwerk ist eingerichtet und funktioniert. Zumindest kann ich...
  4. Suse 11.1 friert bei "Firewall-Einstellungen schreiben" ein

    Suse 11.1 friert bei "Firewall-Einstellungen schreiben" ein: Moin moin, ich hab mir heute erstmal openSuse 11.1 gekauft und installiert. Klappte auch alles wunderbar. Nun versuche ich verzweifeln ins...
  5. SuSeFirewall2

    SuSeFirewall2: SuSeFirewall2 - Strategie? Hallo, ich brauche mal einige Tips da ich mich nicht so gang über meine Strategie entscheiden kann. Wir haben...