hi,

ich habe meinen webserver wie folgt geschützt.
was meint ihr dazu? ist das sicher oder sollte noch was geändert werden?

DANKE!
Lehrling


iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Lokkit-0-50-INPUT (2 references)
target prot opt source destination
ACCEPT udp -- ns1.isp.com anywhere udp spt:domain dpts:1025:65535
ACCEPT tcp -- anywhere anywhere tcp dpt:10000 flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN
ACCEPT all -- anywhere anywhere
REJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp reject-with icmp-port-unreachable

Original geschrieben von lehrling2

ich habe meinen webserver wie folgt geschützt.
was meint ihr dazu? ist das sicher oder sollte noch was geändert werden?


zuallererst solltest du mal mitteilen, welche dienste von wo nach wo erreichbar sein sollen.

obwohl, ist eigentlich egal. die regel

ACCEPT all -- anywhere anywhere

in der INPUT und FORWARD-chain macht eh alles für jeden auf.


-j

hi,

das ALL bezieht sich auf lo interface:


iptables -L -vn
Chain INPUT (policy ACCEPT 32M packets, 17G bytes)
pkts bytes target prot opt in out source destination
37M 18G RH-Lokkit-0-50-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 39M packets, 18G bytes)
pkts bytes target prot opt in out source destination

Chain RH-Lokkit-0-50-INPUT (1 references)
pkts bytes target prot opt in out source destination
15057 1386K ACCEPT udp -- * * 10.10.10.1 0.0.0.0/0 udp spt:53 dpts:1025:65535
2525K 413M ACCEPT udp -- * * 10.10.10.2 0.0.0.0/0 udp spt:53 dpts:1025:65535
984K 49M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 flags:0x16/0x02
95689 5044K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 flags:0x16/0x02
55500 3142K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x16/0x02
180 9916 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x16/0x02
41 2004 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02
240K 34M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
293K 168M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
11636 468K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080
32596 1599K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023 flags:0x16/0x02 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2049 flags:0x16/0x02 reject-with icmp-port-unreachable
156K 47M REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:2049 reject-with icmp-port-unreachable
1 60 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6000:6009 flags:0x16/0x02 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7100 flags:0x16/0x02 reject-with icmp-port-unreachable

Original geschrieben von lehrling2

das ALL bezieht sich auf lo interface:


gut, was für dienste sollen denn von wo nach wo freigegeben werden?

derzeit sind für einen webserver ne menge ports offen:

pop3
smtp
ftp
ftp-data
imap
socks

soll das so sein? ausserdem sollte die default-policy auf DROP stehen. dass fast alle ports > 1024 offen sind ist auch nicht gut, das lässt sich durch verwenden von connection-tracking vermeiden. connection-tracking erschlägt auch gleich das ftp-problem.

du solltest in jedem fall connection-tracking verwenden. damit werden die regeln einfacher und vor allem sicherer weil nur die initiale verbindung erlaubt werden muss; alle nachfolgenden verbindungen regelt iptables selbst.

wenn lokkit das nicht kann, solltest du evtl. etwas anderes verwenden, z.b. harrys generator oder fwbuilder. ich kann fwbuilder empfehlen.


-j