PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hilfeeeeeee???!!!



effect-energy
16.04.2004, 12:06
Also ich versuche seit 4 Tagen zu verstehen wie das mit diesen IPTABLES funktioniert - habe unzählige Seiten im Netz durchforstet : kapier aber nicht was ich machen soll.....
Dann bin ich auf nen IPTABLES-Generator gestossen (Harry) - nur wie packe ich das (vorallem!) wohin????????
....gloreiche Idee 2 :Webmin installieren.....
wget......funzt! ls - webmin.rpm wird angezeigt.....
rpm -i <datei> : kein rpm paket da.......
.....und ich hab sowieso schon keine Ahnung - als Neuling in Sachen Linux...... :help:

qmasterrr
16.04.2004, 12:21
was hälst du davon?
http://sourceforge.net/projects/phpfwgen/ gen
http://sourceforge.net/projects/gtk-iptables/ ein frontend
http://sourceforge.net/projects/agt/ frontend without gui

BTW: du hättest schon einen vernümpftigen titel wählen können und auch sagen können welchen gen du meinst

effect-energy
16.04.2004, 12:29
......Titel geändert - aber was ist gen und frontend???
....ich hab echt keinen Plan - hab mal 2 Wochen Linux crashkurs gemacht (Umschulung IT/Systemelektroniker) - dann sollte ich das können......(....die anderen können es auch noch nicht - die hab ich schon gefragt)

chb
16.04.2004, 12:40
Am besten iss halt du liest dir mal ein HOWTO darüber durch, damit du verstehst was du damit machen kannst und wie - IPTables iss vom Grundaufbau net sonderlich schwer man muß nur mal anfangen.

http://www.netfilter.org/documentation/index.html Da schau dir mal die FAQ und so an.

Und wenn dann Fragen auftauchen, einfach hier rein :)

HangLoose
16.04.2004, 13:43
moin



Also ich versuche seit 4 Tagen zu verstehen wie das mit diesen IPTABLES funktioniert

was nicht unbedingt viel ist ;).


- habe unzählige Seiten im Netz durchforstet : kapier aber nicht was ich machen soll.....
Dann bin ich auf nen IPTABLES-Generator gestossen (Harry) - nur wie packe ich das (vorallem!) wohin????????

auf harrys seite gibt es auch ein howto zum iptables generator. darin wird auch beschrieben, wie du das script per hand starten kannst.
wenn das script automatisch beim booten starten soll, was sinnvoll ist, machst du als root folgendes

chmod 500 firewall.sh oder wie auch immer du das script genannt hast

cp firewall.sh /etc/init.d nach /etc/init.d kopieren

ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/S99firewall.sh
ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/S99firewall.sh in die runlevel 3 u. 5 einen entsprechenden link legen.

das war's jetzt auch schon. beim nächsten booten wird das script automatisch gestartet. wenn du das script mal per hand stoppen/starten willst

/etc/init.d/firewall.sh start
/etc/init.d/firewall.sh stop

ganz oben hier im forum findest du einen sticky thread mit nützlichen links bezüglich iptables.

ps: und tu mir einen gefallen => ein !,? etc. reichen !!!1!!11! ;)


Gruß HL

effect-energy
16.04.2004, 13:51
Zum Thema P.S. : (3punkte*g*)ich werds mir merken.

Aber noch eins : (nun ein coming out) ich arbeite noch auf Win XP, da ich Linux erst seit 3 Monaten kenne (ich schäme mich ja auch!) - da hab ich das "firewall.sh" - wie kriege ich das denn auf den Server?
Mit wget wirds wohl nicht funktionieren, oder?

HangLoose
16.04.2004, 14:05
hi


Zum Thema P.S. : (3punkte*g*)ich werds mir merken.

sehr gut ;).



Aber noch eins : (nun ein coming out) ich arbeite noch auf Win XP, da ich Linux erst seit 3 Monaten kenne (ich schäme mich ja auch!)

die wenigsten sind mit linux groß geworden, von daher kein grund sich zu schämen ;).



- da hab ich das "firewall.sh" - wie kriege ich das denn auf den Server?
Mit wget wirds wohl nicht funktionieren, oder?

auf anhieb als einfachste lösung fällt mir hier mailen+anhang ein. also entweder neu generieren lassen und die mail mit linux abholen oder das script was du hast, an die eigene mail addy schicken und mit linux abholen.

ups, ich sehe grade das wort server. das bedeutet wohl, das auf der kiste nur das nötigste läuft. wenn auf deinem xp rechner auch noch linux läuft wäre es easy

script auf linuxpartion verschieben => mit scp auf server kopieren

scp firewall.sh user@xxx.xxx.xx.x:/home/user

user gegen deinen usernamen austauschen und für die x die ip vom server einsetzen.

das ganze geht sicher auch mit putty+win, allerdings kenne ich mich mit putty nicht aus.


Gruß HL

effect-energy
16.04.2004, 14:11
DANKE!
Werde es gleich versuchen wenn ich zu Hause bin!

HangLoose
16.04.2004, 14:15
hi

wenn alle stricke reißen => die gute alte diskette :D.

achso nochwas, komme nicht auf die idee das firewallscript mit nem win-editor zu bearbeiten, dann landen möglicherweise steuerzeichen im script mit denen linux nix anfangen kann.


Gruß HL

effect-energy
16.04.2004, 20:27
Also hab mir das jetzt mal zurecht gelegt - da mein Suse im Grafikmodus immer "stehen" bleibt - arbeite ich im Failsafe......
Habe es in /init.d
.....wie sieht das mit dem runlevel aus er schreibt :
"/etc/init.d/rc3.d/S99firewall.sh" to "/etc/init.dfirewall.sh" : no such file or DIrectory

effect-energy
16.04.2004, 21:06
....ohoh jetzt hab ich ./firewall.sh gesagt.....und der server ist nicht mehr erreichbar.......ohoh


...nach nem reboot ist er wieder da......

HangLoose
16.04.2004, 22:32
.....wie sieht das mit dem runlevel aus er schreibt :
"/etc/init.d/rc3.d/S99firewall.sh" to "/etc/init.dfirewall.sh" : no such file or DIrectory

du hast da anscheinend nen / vergessen

to "/etc/init.dfirewall.sh"

noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

edit: wenn du keinen physikalischen zugriff auf den server hast, dann warte mit dem korrekten einbinden des scriptes in den runlevel, bis geklärt ist, ob du zugang per ssh hast(nach starten des firewallscripts per hand) ansonsten sperrst du dich nämlich aus.


Gruß HL

effect-energy
17.04.2004, 11:22
du hast da anscheinend nen / vergessen

to "/etc/init.dfirewall.sh"


Habe das abgetippt, da ich mit XP im Netz war und mit Failsafe (....der Suse Desktop schmiert ja immer ab) im Linux....


noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

.....es ist ein vserver!


noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

.....es ist ein vserver!

HangLoose
17.04.2004, 11:28
moin

wie gesagt, hast du den befehl wohl etwas falsch abgetippt und einen / vergessen.
im nachhinein gesehen, war das aber wohl dein glück ;), da du wohl vergessen hast, den ssh zugang zu erlauben.

am besten du postest mal das script, damit ich mir das mal anschauen kann.
wichtig wäre noch das interface, also ob eth0 oder eth1 am inet *hängen*.

Gruß HL

effect-energy
17.04.2004, 11:46
Was meinst Du mit interface eth oder eth1??

effect-energy
17.04.2004, 11:49
#!/bin/bash
# ---------------------------------------------------------------------
# Linux-iptables-Firewallskript, Copyright (c) 2004 under the GPL
# Autogenerated by iptables Generator v1.16 (c) 2002 by Harald Bertram*
# Please visit http://www.harry.homelinux.org for new versions of
# the iptables Generator (c).
#
# This Script was generated by request from:
# email@andypost.de on: 2004-4-15 20:34.27 MET.
#
# If you have questions about the iptables Generator or about
# your Firewall-Skript feel free to take a look at out website or
# send me an E-Mail to webmaster@harry.homelinux.org.
#
# My special thanks are going to Lutz Heinrich (trinitywork@hotmail.com) who
# made lots of Beta-Testing and gave me lots of well qualified
# Feedback that made me able to improve the iptables Generator.
# --------------------------------------------------------------------

case "$1" in
start)
echo "Starte IP-Paketfilter"

# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP

# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

# HTTPS
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 443 -j ACCEPT

# SMTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 25 -j ACCEPT

# POP3
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

# POP3S
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 995 -j ACCEPT

# DNS
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT

# FTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

# SSH
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

# MYSQL
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# TELNET
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 23 -j ACCEPT

# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac

HangLoose
17.04.2004, 11:51
Was meinst Du mit interface eth oder eth1??

naja der vserver selbst wird ja ne netzwerkkarte besitzen, womit er am inet hängt. vermute ich jetzt zumindest mal, hab noch nix mit nem vserver zu tun gehabt. gibt's da irgendwo ne inetseite zu dem angebot?

effect-energy
17.04.2004, 11:56
http://www.server4you.de/de/v/showplan.php?products=0


.....aber da steht glaube nichts zum Thema Netzwerkkarte......

HangLoose
17.04.2004, 11:58
hi




# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ssh
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

# HTTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

die *fette* regel füge mal in dein script ein und die mit telnet hauste wieder raus.

und dann starte das script als root von hand aus

/etc/init.d/firewall.sh start



Gruß HL

HangLoose
17.04.2004, 12:06
*argh*, ich sehe grade, das in deinem script doch schon eine ssh regel war, hab ich beim ersten mal übersehen.

wie verbindest du dich denn mit dem vserver, per ssh?

effect-energy
17.04.2004, 12:08
......bin gerade mit putty drauf : die ssh regel steht da schon so.....
Telnet kick ich mal - einfach Deny anstelle Accept, oder?

Normalerweise per Putty ssh - allerdings gefällt mir das mit den vieln Konsolen bei linux viel besser - muß nur mal gucken woran das liegt das die Grafik abschmiert....

HangLoose
17.04.2004, 12:14
hi

mach mal folgendes. entferne aus den folgenden regeln komplett das interface

# HTTP
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

# HTTPS
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# SMTP
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

# POP3
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

# POP3S
iptables -A INPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT

# DNS
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT

# FTP
iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

# SSH
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

# MYSQL
iptables -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

also überall das -i ppp0 entfernen, firewall neustarten und versuchen mit ssh raufzukommen. wenn das nicht gehen sollte, ersetze das -i ppp0 gegen -i eth0.

effect-energy
17.04.2004, 12:16
.....wenn ich das entferne - ist alles automatisch auf Accept gesetzt, oder??

HangLoose
17.04.2004, 12:19
.....wenn ich das entferne - ist alles automatisch auf Accept gesetzt, oder??

nein, aber der vserver hängt sicherlich nicht per dsl am inet und deshalb dürfte -i ppp0 sicher falsch sein, weil es das interface bei dir nicht gibt.

wenn du das rausnimmst, wird nur nicht explizit nach dem interface gefiltert. bin mir aber nicht 100% sicher ob das ohne angabe hinhaut. deshalb der zweite vorschlag mit eth0.

effect-energy
17.04.2004, 12:21
......nochwas: habe mit vi bearbeitet.....war aber nur read only - add ! to override : was ist damit gemeint?

HangLoose
17.04.2004, 12:25
......nochwas: habe mit vi bearbeitet.....war aber nur read only - add ! to override : was ist damit gemeint?

vi rockt ;)

hast du das als root gemacht? die berechtigung steht nämlich auf 500, wenn du es so gemacht hast, wie ich oben gesagt habe(chmod 500 firewall.sh).

:w <= speichern
:w! <= das will er wohl von dir sehen

effect-energy
17.04.2004, 12:30
....astrein mit vi das hat geklappt - starte ich nun mit :/etc/init.d/firewall.sh start

schickt er mir folgende Fehlermeldung:
# /etc/init.d/firewall.sh start
Starte IP-Paketfilter
/etc/init.d/firewall.sh: line 25: modprobe: command not found
/etc/init.d/firewall.sh: line 27: modprobe: command not found
/etc/init.d/firewall.sh: line 29: modprobe: command not found
/etc/init.d/firewall.sh: line 30: modprobe: command not found
iptables v1.2.7a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.



.....und kein Zugang mehr......weder http noch ssh

HangLoose
17.04.2004, 12:32
poste mal die ausgabe von

uname -r
und
lsmod

effect-energy
17.04.2004, 12:34
uname -r? ismod?


.....hab erstmal rebootet

HangLoose
17.04.2004, 12:41
nicht ismod sondern lsmod

uname -r zeigt dir die laufende kernelversion an

lsmod die geladenen module

effect-energy
17.04.2004, 12:44
....hehe.....kann nichts machen.....wahrscheinlich schicken die da jetzt erst ne Techniker los der den Stecker zieht - solange wie das dauert....*ggg*

HangLoose
17.04.2004, 12:48
das ist mist. ich muss jetzt auch erstmal weg.

effect-energy
17.04.2004, 12:57
.....ich werde das mal versuchen - bis später -DANKE - erstmal!

effect-energy
17.04.2004, 14:23
also mit eth0 geht auch nicht....
# uname -r
2.4.20-020stab009.10.777-enterprise


...wo muß ich den lsmod ausführen - weil : # lsmod
-bash: lsmod: command not found ........

HangLoose
17.04.2004, 14:30
hi

also wenn lsmod nicht drauf ist, dann wird auch modprobe nicht drauf sein. das bedeutet, du kannst keine kernelmodule nachladen.

was sagt denn

whereis iptables

effect-energy
17.04.2004, 14:32
# whereis iptables
iptables: /sbin/iptables /lib/iptables /usr/share/man/man8/iptables.8.gz

HangLoose
17.04.2004, 14:35
# whereis iptables
iptables: /sbin/iptables /lib/iptables /usr/share/man/man8/iptables.8.gz

das ist ja schonmal was. dann scheint das ein kernel ohne modulsupport zu sein, was bei nem vserver ja nicht das schlechteste ist.

also, du komentierst die zeilen mit dem modprobe in deinem script einfach aus mit ner # davor
dann sollten zumindest die fehlermeldungen beim starten verschwinden.

effect-energy
17.04.2004, 14:39
.....ich muß ja ständig rebooten - hängt das damit zusammen??

HangLoose
17.04.2004, 14:39
.....ich muß ja ständig rebooten - hängt das damit zusammen??

was hängt womit zusammen?

effect-energy
17.04.2004, 14:52
wenn ich die Wall starte - hab ich keinen zugriff mehr - weder ssh - noch http - mail.....muß dann rebooten....

HangLoose
17.04.2004, 14:54
hm, hast du das interface mal ganz weggelassen?

effect-energy
17.04.2004, 15:05
Du meinst eth0 und so?

HangLoose
17.04.2004, 15:11
nein ich meine

# HTTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

so steht das in deinen regeln und du sollst das -i ppp0 ganz rausnehmen

# HTTP
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

und das in allen regeln, wo es drin vorkommt

effect-energy
17.04.2004, 15:18
....hatte ich schon gemacht - geht auch nicht

HangLoose
17.04.2004, 15:26
hm, und eth0 ging auch nicht?

poste mal die ausgabe von

ifconfig

effect-energy
17.04.2004, 15:50
ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:146 (146.0 b) TX bytes:146 (146.0 b)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.0
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:262 errors:0 dropped:0 overruns:0 frame:0
TX packets:323 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:20565 (20.0 Kb) TX bytes:26109 (25.4 Kb)

venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:62.75.168.75 P-t-P:62.75.168.75 Bcast:62.75.168.75 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:262 errors:0 dropped:0 overruns:0 frame:0
TX packets:323 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:20565 (20.0 Kb) TX bytes:26109 (25.4 Kb)

HangLoose
17.04.2004, 15:55
hm, venet0 hab ich noch nie gesehen.

also in die entsprechenden regeln folgendes rein

# ssh
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

hoffe mal das das so geht

effect-energy
18.04.2004, 13:58
Moin.....
....bevor ich das jetzt mache - was sage ich der Firewall überhaupt damit?
venet0:0 ? --state NEW?

HangLoose
18.04.2004, 14:36
hi

# ssh
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

erlaube alle neuen(NEW) pakete in der input chain die am interface venet0:0 *auftauchen* und die den zielport 22(ssh) haben, sowie tcp pakete sind.

effect-energy
18.04.2004, 15:20
ahhh - aber nochwas: gestern war der server ja nicht mehr erreichbar nachdem ich die Firewall eingeschltet hab - auch http nicht - muß ich das für http auch machen??

HangLoose
18.04.2004, 15:26
ja für alle *sachen* die von aussen erreichbar sein sollen, also http, https, mail ?

am wichtigsten ist aber ssh erstmal

effect-energy
18.04.2004, 15:33
....so hab ich gemacht....und dann:

/etc/init.d/firewall.sh start
Starte IP-Paketfilter
/etc/init.d/firewall.sh: line 25: modprobe: command not found
/etc/init.d/firewall.sh: line 27: modprobe: command not found
/etc/init.d/firewall.sh: line 29: modprobe: command not found
/etc/init.d/firewall.sh: line 30: modprobe: command not found
iptables v1.2.7a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

HangLoose
18.04.2004, 15:36
du solltest doch die zeilen mit modprobe auskommentieren

effect-energy
18.04.2004, 17:15
....hab ich gemacht!


# iptables-Modul
# modprobe ip_tables
# Connection-Tracking-Module
# modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
# modprobe ip_conntrack_irc
# modprobe ip_conntrack_ftp

HangLoose
18.04.2004, 19:07
und die fehlermeldungen kommen trotzdem?

effect-energy
18.04.2004, 19:51
folgende Fehlermeldung:

# /etc/init.d/firewall.sh start
Starte IP-Paketfilter
/etc/init.d/firewall.sh: line 25: modprobe: command not found
/etc/init.d/firewall.sh: line 27: modprobe: command not found
/etc/init.d/firewall.sh: line 29: modprobe: command not found
/etc/init.d/firewall.sh: line 30: modprobe: command not found
iptables v1.2.7a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.7a: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

...nur reboot ist möglich
Habs auch mit venet0 anstelle venet0:0 versucht

HangLoose
18.04.2004, 20:12
hm, is mir ehrlich gesagt nen rätsel, warum da immer noch fehlermeldungen bezüglich modprobe kommen, wenn du es auskommentiert hast.

bezüglich dem interface würde ich mal vorschlagen, du setzt dich mit dem support mal in verbindung und fragst die, ob es überhaupt möglich ist, auf der kiste nen eigenes iptables script laufen zu lassen. die regeln sollten eigentlich richtig sein.

ps: poste nochmal das script wie es momentan ist, eventuell fällt mir ja noch was auf.


Gruß HL

effect-energy
18.04.2004, 20:35
Also der Kai Suesse ( server4you support ) schrieb n´mir ich solle den server mit ner firewall sichern und solle mich zum Thema IPTABLES schlau machen.....


Hier das script:

cat firewall.sh
#!/bin/bash
# ---------------------------------------------------------------------
# Linux-iptables-Firewallskript, Copyright (c) 2004 under the GPL
# Autogenerated by iptables Generator v1.16 (c) 2002 by Harald Bertram*
# Please visit http://www.harry.homelinux.org for new versions of
# the iptables Generator (c).
#
# This Script was generated by request from:
# xxxxxxx@xxxxxxxxx.de on: 2004-4-15 20:34.27 MET.
#
# If you have questions about the iptables Generator or about
# your Firewall-Skript feel free to take a look at out website or
# send me an E-Mail to webmaster@harry.homelinux.org.
#
# My special thanks are going to Lutz Heinrich (trinitywork@hotmail.com) who
# made lots of Beta-Testing and gave me lots of well qualified
# Feedback that made me able to improve the iptables Generator.
# --------------------------------------------------------------------

case "$1" in
start)
echo "Starte IP-Paketfilter"

# iptables-Modul
# modprobe ip_tables
# Connection-Tracking-Module
# modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
# modprobe ip_conntrack_irc
# modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "RE
JECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "RE
JECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "D
ROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OT
HER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DR
OP "
iptables -A MY_DROP -j DROP

# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --
log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG -
-log-prefix "OUTPUT INVALID "

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 80 -j ACCE
PT

# HTTPS
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 443 -j ACC
EPT

# SMTP
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 25 -j ACCE
PT

# POP3
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 110 -j ACC
EPT

# POP3S
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 995 -j ACC
EPT

# DNS
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 53 -j ACCE
PT
iptables -A INPUT -i venet0:0 -m state --state NEW -p udp --dport 53 -j ACCE
PT

# FTP
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 21 -j ACCE
PT

# SSH
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 22 -j ACCE
PT

# MYSQL
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# TELNET
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 23 -j ACCEPT

# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac

HangLoose
18.04.2004, 20:46
also das script sieht eigentlich gut aus so. nen paar kleinigkeiten wären noch zu ändern, die aber erstmal nicht so wichtig sind.

es kann eigentlich nur am falschen interface liegen. frag ihn am besten mal, was du als input interface nehmen sollst.

HangLoose
18.04.2004, 20:52
ich nochmal, hab eben mal deinen server gescannt und danach ist auch nur das *offen* was laut iptables script erlaubt wurde.

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on 168075.vserver.de (62.75.168.75):
(The 1593 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
443/tcp open https
995/tcp open pop3s
3306/tcp open mysql

effect-energy
18.04.2004, 20:58
? Wie?
Der ist schon gesichert - ?

HangLoose
18.04.2004, 21:05
läuft das script von dir denn jetzt? wenn nein, dann poste mal die ausgabe von

iptables-save

wenn ja, dann kommentiere mal alle input regeln ausser ssh und http aus und starte das script neu.
diese regeln hier konkret

# HTTPS
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 443 -j ACC
EPT

# SMTP
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 25 -j ACCE
PT

# POP3
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 110 -j ACC
EPT

# POP3S
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 995 -j ACC
EPT

# DNS
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 53 -j ACCE
PT
iptables -A INPUT -i venet0:0 -m state --state NEW -p udp --dport 53 -j ACCE
PT

# FTP
iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 21 -j ACCE
PT

# MYSQL
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# TELNET
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 23 -j ACCEPT

effect-energy
18.04.2004, 21:08
.....eigentlich läuft das script nicht - nach einem reboot müßte es ja eigentlich von mir gestartet werden....

# iptables-save
# Generated by iptables-save v1.2.7a on Sun Apr 18 22:07:33 2004
*filter
:INPUT ACCEPT [10095:510642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16551:20282290]
COMMIT
# Completed on Sun Apr 18 22:07:33 2004

was heißt das ??
bin aber jetzt erstmal weg - um 3.30 ist die Nacht vorbei....

HangLoose
18.04.2004, 21:14
das bedeutet, das da noch alles offen ist und dein script nicht läuft.

also wie gesagt, frag ihn mal nach dem interface. dann sehen wir weiter.


Gruß HL

effect-energy
19.04.2004, 06:52
Moin !
- da muß ich also wieder die Support-Hotline anrufen....
.....das die einemnicht im Vorfeld so´ne Infos geben...

Mal kurz zu der nmap Geschichte - hab das auf XP mal versucht - aber hat nicht gefunzt - was hast Du denn da eigentlich gemacht??

HangLoose
19.04.2004, 17:06
hi

fix ne email und gut is ;).

nmap <ipdeinesservers>, gibt noch nen haufen optionen für nmap, zumindest unter linux. ob es auch ne version für win gibt, weiß ich nicht, hab kein win mehr ;).

Gruß HL

qmasterrr
19.04.2004, 17:10
www.insecure.org/nmap
http://download.insecure.org/nmap/dist/nmap-3.50-win32.zip

effect-energy
19.04.2004, 17:49
hmmmm - aber wie öffne ich das inter xp : wenn ich es anklicke öffnet sich ganz kurz ne cmd , schließt sich aber direkt wieder...- ...und wenn ich nmap.... in die cmd eingebe kennt er den Befehl nicht....

hehejo
19.04.2004, 17:59
Dann musst du eben den kompletten Pfad zu nmap eingeben..
also vvl.
c:> D:\Programme\nmap\nmap 192.168.0.23
oder so in etwa...

effect-energy
19.04.2004, 20:04
wenn ich das mache bekomme ich folgende Fehlermeldung :


Starting nmap 3.50 ( http://www.insecure.org/nmap ) at 2004-04-19 20:57 Westeuro
põische Sommerzeit
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0

Nmap run completed -- 1 IP address (0 hosts up) scanned in 24.156 seconds

....folge ich der Anweisung - verlier ich den Zugang und der Server scheint stehen zu bleiben......

theton
18.04.2006, 11:18
'ifconfig' zeigt dir, welches Netzwerk-Interface am Netz haengt.

hex
18.04.2006, 11:25
Der Thread ist 2 Jahre alt :P

theton
18.04.2006, 19:01
Ja, sorry. Zu spaet gesehen. Ich stiess halt bei einer Suche im Forum drauf und sah eine unbeantwortete Frage. :D

hex
18.04.2006, 22:33
Kein Thema! War ja nur ein Hinweis! Ist ja gut, wenn eine weiter Frage beantwortet wurde! ;)

mfg hex