Hilfeeeeeee???!!!

effect-energy

effect-energy

Mitglied
Firewall auf vserver installieren - Hilfe??!

Also ich versuche seit 4 Tagen zu verstehen wie das mit diesen IPTABLES funktioniert - habe unzählige Seiten im Netz durchforstet : kapier aber nicht was ich machen soll.....
Dann bin ich auf nen IPTABLES-Generator gestossen (Harry) - nur wie packe ich das (vorallem!) wohin????????
....gloreiche Idee 2 :Webmin installieren.....
wget......funzt! ls - webmin.rpm wird angezeigt.....
rpm -i <datei> : kein rpm paket da.......
.....und ich hab sowieso schon keine Ahnung - als Neuling in Sachen Linux...... :help:
 
Zuletzt bearbeitet:
......Titel geändert - aber was ist gen und frontend???
....ich hab echt keinen Plan - hab mal 2 Wochen Linux crashkurs gemacht (Umschulung IT/Systemelektroniker) - dann sollte ich das können......(....die anderen können es auch noch nicht - die hab ich schon gefragt)
 
Zuletzt bearbeitet:
Am besten iss halt du liest dir mal ein HOWTO darüber durch, damit du verstehst was du damit machen kannst und wie - IPTables iss vom Grundaufbau net sonderlich schwer man muß nur mal anfangen.

http://www.netfilter.org/documentation/index.html Da schau dir mal die FAQ und so an.

Und wenn dann Fragen auftauchen, einfach hier rein :)
 
moin


effect-energy schrieb:
Also ich versuche seit 4 Tagen zu verstehen wie das mit diesen IPTABLES funktioniert

was nicht unbedingt viel ist ;).

- habe unzählige Seiten im Netz durchforstet : kapier aber nicht was ich machen soll.....
Dann bin ich auf nen IPTABLES-Generator gestossen (Harry) - nur wie packe ich das (vorallem!) wohin????????

auf harrys seite gibt es auch ein howto zum iptables generator. darin wird auch beschrieben, wie du das script per hand starten kannst.
wenn das script automatisch beim booten starten soll, was sinnvoll ist, machst du als root folgendes

chmod 500 firewall.sh oder wie auch immer du das script genannt hast

cp firewall.sh /etc/init.d nach /etc/init.d kopieren

ln -s /etc/init.d/firewall.sh /etc/init.d/rc3.d/S99firewall.sh
ln -s /etc/init.d/firewall.sh /etc/init.d/rc5.d/S99firewall.sh
in die runlevel 3 u. 5 einen entsprechenden link legen.

das war's jetzt auch schon. beim nächsten booten wird das script automatisch gestartet. wenn du das script mal per hand stoppen/starten willst

/etc/init.d/firewall.sh start
/etc/init.d/firewall.sh stop


ganz oben hier im forum findest du einen sticky thread mit nützlichen links bezüglich iptables.

ps: und tu mir einen gefallen => ein !,? etc. reichen !!!1!!11! ;)


Gruß HL
 
Zum Thema P.S. : (3punkte*g*)ich werds mir merken.

Aber noch eins : (nun ein coming out) ich arbeite noch auf Win XP, da ich Linux erst seit 3 Monaten kenne (ich schäme mich ja auch!) - da hab ich das "firewall.sh" - wie kriege ich das denn auf den Server?
Mit wget wirds wohl nicht funktionieren, oder?
 
hi

effect-energy schrieb:
Zum Thema P.S. : (3punkte*g*)ich werds mir merken.

sehr gut ;).

Aber noch eins : (nun ein coming out) ich arbeite noch auf Win XP, da ich Linux erst seit 3 Monaten kenne (ich schäme mich ja auch!)

die wenigsten sind mit linux groß geworden, von daher kein grund sich zu schämen ;).

- da hab ich das "firewall.sh" - wie kriege ich das denn auf den Server?
Mit wget wirds wohl nicht funktionieren, oder?

auf anhieb als einfachste lösung fällt mir hier mailen+anhang ein. also entweder neu generieren lassen und die mail mit linux abholen oder das script was du hast, an die eigene mail addy schicken und mit linux abholen.

ups, ich sehe grade das wort server. das bedeutet wohl, das auf der kiste nur das nötigste läuft. wenn auf deinem xp rechner auch noch linux läuft wäre es easy

script auf linuxpartion verschieben => mit scp auf server kopieren

scp firewall.sh **********.x:/home/user

user gegen deinen usernamen austauschen und für die x die ip vom server einsetzen.

das ganze geht sicher auch mit putty+win, allerdings kenne ich mich mit putty nicht aus.


Gruß HL
 
DANKE!
Werde es gleich versuchen wenn ich zu Hause bin!
 
hi

wenn alle stricke reißen => die gute alte diskette :D.

achso nochwas, komme nicht auf die idee das firewallscript mit nem win-editor zu bearbeiten, dann landen möglicherweise steuerzeichen im script mit denen linux nix anfangen kann.


Gruß HL
 
Also hab mir das jetzt mal zurecht gelegt - da mein Suse im Grafikmodus immer "stehen" bleibt - arbeite ich im Failsafe......
Habe es in /init.d
.....wie sieht das mit dem runlevel aus er schreibt :
"/etc/init.d/rc3.d/S99firewall.sh" to "/etc/init.dfirewall.sh" : no such file or DIrectory
 
....ohoh jetzt hab ich ./firewall.sh gesagt.....und der server ist nicht mehr erreichbar.......ohoh


...nach nem reboot ist er wieder da......
 
Zuletzt bearbeitet:
effect-energy schrieb:
.....wie sieht das mit dem runlevel aus er schreibt :
"/etc/init.d/rc3.d/S99firewall.sh" to "/etc/init.dfirewall.sh" : no such file or DIrectory

du hast da anscheinend nen / vergessen

to "/etc/init.dfirewall.sh"

noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

edit: wenn du keinen physikalischen zugriff auf den server hast, dann warte mit dem korrekten einbinden des scriptes in den runlevel, bis geklärt ist, ob du zugang per ssh hast(nach starten des firewallscripts per hand) ansonsten sperrst du dich nämlich aus.


Gruß HL
 
Zuletzt bearbeitet:
du hast da anscheinend nen / vergessen

to "/etc/init.dfirewall.sh"


Habe das abgetippt, da ich mit XP im Netz war und mit Failsafe (....der Suse Desktop schmiert ja immer ab) im Linux....


noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

.....es ist ein vserver!


noch was hast du physikalisch zugriff auf den rechner, oder ist das sowas wie nen vserver? wenn nicht hast du hoffentlich *angekreuzt* das ssh zugang erlaubt ist.

.....es ist ein vserver!
 
moin

wie gesagt, hast du den befehl wohl etwas falsch abgetippt und einen / vergessen.
im nachhinein gesehen, war das aber wohl dein glück ;), da du wohl vergessen hast, den ssh zugang zu erlauben.

am besten du postest mal das script, damit ich mir das mal anschauen kann.
wichtig wäre noch das interface, also ob eth0 oder eth1 am inet *hängen*.

Gruß HL
 
#!/bin/bash
# ---------------------------------------------------------------------
# Linux-iptables-Firewallskript, Copyright (c) 2004 under the GPL
# Autogenerated by iptables Generator v1.16 (c) 2002 by Harald Bertram*
# Please visit http://www.harry.homelinux.org for new versions of
# the iptables Generator (c).
#
# This Script was generated by request from:
# ********** on: 2004-4-15 20:34.27 MET.
#
# If you have questions about the iptables Generator or about
# your Firewall-Skript feel free to take a look at out website or
# send me an E-Mail to **********.
#
# My special thanks are going to Lutz Heinrich (trinitywork@hotmail.com) who
# made lots of Beta-Testing and gave me lots of well qualified
# Feedback that made me able to improve the iptables Generator.
# --------------------------------------------------------------------

case "$1" in
start)
echo "Starte IP-Paketfilter"

# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP

# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

# HTTPS
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 443 -j ACCEPT

# SMTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 25 -j ACCEPT

# POP3
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

# POP3S
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 995 -j ACCEPT

# DNS
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT

# FTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

# SSH
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

# MYSQL
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# TELNET
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 23 -j ACCEPT

# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac
 
effect-energy schrieb:
Was meinst Du mit interface eth oder eth1??

naja der vserver selbst wird ja ne netzwerkkarte besitzen, womit er am inet hängt. vermute ich jetzt zumindest mal, hab noch nix mit nem vserver zu tun gehabt. gibt's da irgendwo ne inetseite zu dem angebot?
 
hi



Code:
# Connection-Tracking aktivieren
 iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[b]# ssh
 iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT[/b]
 
 # HTTP
 iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

die *fette* regel füge mal in dein script ein und die mit telnet hauste wieder raus.

und dann starte das script als root von hand aus

/etc/init.d/firewall.sh start



Gruß HL
 
*argh*, ich sehe grade, das in deinem script doch schon eine ssh regel war, hab ich beim ersten mal übersehen.

wie verbindest du dich denn mit dem vserver, per ssh?
 

Ähnliche Themen

[HowTo] TeamSpeak 2 - RC2 - Server (Deutsch/Englisch)

Zurück
Oben