iptables verständniss frage, xrdp nicht erreichbar.

Diskutiere iptables verständniss frage, xrdp nicht erreichbar. im Firewalls Forum im Bereich Netzwerke & Serverdienste; Nabend, ich spiele gerade etwas mit iptables rum, im wahrsten sinne des Wortes und versuche folgendes zu verstehen. Erstmal meine Config:...

  1. DOS

    DOS 16-Bit 4 Ever

    Dabei seit:
    29.05.2004
    Beiträge:
    158
    Zustimmungen:
    0
    Ort:
    NRW
    Nabend, ich spiele gerade etwas mit iptables rum, im wahrsten sinne des Wortes und versuche folgendes zu verstehen.

    Erstmal meine Config:
    Code:
    #!/bin/sh
    iptables -F
    iptables -X
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    
    iptables -A INPUT -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT
    
    Mit dieser Config kann ich keine Verbindung zu xrdp aufbauen, setzte ich jedoch iptables -P OUTPUT ACCEPT ist dies ohne Probleme möglich.

    Meine Frage nun, wieso :D Ich meine klar, Output muss natürlich nicht unbedingt auf DROP stehen aber mich würde jetzt stark interessieren, obwohl ich den Port für OUTPUT freigebe, kommt keine Verbindung zustande.

    Welche Möglichkeiten habe ich mit befehlen, Informationen raus zu bekommen welche Ports nun alle für die Kommunikation nötig wären. Ich vermute jetzt einfach mal das wohl mehr als der Port 3389 für die Ausgehende Verbindung von nöten sein werden.

    Meine HW ist nen RPI 2 mit 4.9.41-v7+ #1023 SMP Tue Aug 8 16:00:15 BST 2017 armv7l GNU/Linux
    Achja, Internet ist direkt über den LAN-Port angeschlossen.

    Besten Dank schonmal für die Hilfe :)
     
  2. #2 bitmuncher, 23.11.2017
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.176
    Zustimmungen:
    3
    Wenn du OUTPUT auf DROP setzt, solltest du zumindest ESTABLISHED und RELATED auf ACCEPT haben, sonst kann er ja den Output für aufgebaute Verbindungen nicht senden.
     
  3. #3 hellfire, 23.11.2017
    Zuletzt bearbeitet: 23.11.2017
    hellfire

    hellfire Doppel-As

    Dabei seit:
    25.05.2016
    Beiträge:
    100
    Zustimmungen:
    12
    RELATED ist hier afaik nicht notwendig, lasse mich aber gerne eines Besseren belehren. Er hat ESTABLISHED. Das reicht aus. RELATED ist für solche Fälle, wenn zu manchen primären Verbindungen noch zusätzliche sekundäre Verbindungen auf weiteren Ports geöffnet werden, die damit in Verbindung stehen. Z. B. beim FTP-Protokoll.

    Der Fehler ist die OUTPUT-Regel. Die ist falsch.

    iptables -A OUTPUT -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT

    Richtig ist:

    iptables -A OUTPUT -p tcp --sport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT

    Grund:

    Die Rückgabepakete haben als Quellport 3389 angegeben, nicht als Zielport. Weil: Is halt so!

    Alternative:

    Der Einfachheit halber könnte man aber diese zwei Regeln einführen. Dann würde ein komplettes Regelwerk mit weniger Regeln auskommen:
    Code:
    # Alle etablierten und mit etablierten Verbindungen verknüpften TCP-Verbindungen erlauben
    iptables -I INPUT  1 -p tcp -m state --state=ESTABLISHED,RELATED -j ACCEPT
    iptables -I OUTPUT 1 -p tcp -m state --state=ESTABLISHED,RELATED -j ACCEPT
    
    Die obige Regel sollte auch an erster Stelle stehen. Damit müssen etablierte TCP-Verbindungen nur noch eine einzige iptables-Regel durchlaufen, was für eine Beschleunigung sorgt. Das wäre jetzt aber nur für viel Traffic bzw. viele Regeln mit einem tatsächlich bemerkbaren Unterschied verbunden.

    Damit wäre Deine spezielle RDP-OUTPUT-Regel überflüssig und die beiden genannten würden für alle noch kommenden gelten.
     
Thema:

iptables verständniss frage, xrdp nicht erreichbar.

Die Seite wird geladen...

iptables verständniss frage, xrdp nicht erreichbar. - Ähnliche Themen

  1. FTP/FTPS ohne ip_conntrack_ftp oder nf_conntrack_ftp mit iptables

    FTP/FTPS ohne ip_conntrack_ftp oder nf_conntrack_ftp mit iptables: Guten Tag, kennt jemand von euch eine Möglichkeit wie ich vsftpd nutzen kann zusammen mit einer Firewall ohne die im Betreff angegebenen...
  2. iptables und whitelist

    iptables und whitelist: Moin zusammen, Nach einer Ewigkeit melde ich mich mal hier zurück. Ich hab da so ein kleines Problemchen. Ich mach z.Zt. eine Umschulung zum...
  3. iptables blocke nur von bestimmter ip

    iptables blocke nur von bestimmter ip: Hallo, ich habe ein kleines Heimnetzwerk mit einem Router unter openWRT. Dort kann ich mittels iptables -I OUTPUT -p udp --dport 53 -m...
  4. Opensuse iptables (yast FW) + MiniUPnPd

    Opensuse iptables (yast FW) + MiniUPnPd: Hallo zusammen, ich habe ja meine OpenSuse Box momentan als Gateway eingerichtet und der Router dient nur als Access Point für alle Geräte...
  5. IPtables

    IPtables: Hallo Leute, bin zurzeit dabei, einen Proxy aufzusetzen, der die IP meines Webservers vetuschen soll. Es läuft eig. schon alles super, nur eine...