PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables auf vServer mit Plesk



lynix
28.06.06, 15:13
Hi@all!

Ich habe auf meinem vServer über ein Plesk-Modul einen iptables-Regelsatz erstellen lassen, allerdings kommt dieser mir sehr nutzlos vor. Ich würde gerne mal eure Meinungen dazu hören/lesen:


Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN reject-with tcp-reset
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:pcsync-https
ACCEPT tcp -- anywhere anywhere tcp dpt:cddbp-alt
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtps
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:imap
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:poppassd
ACCEPT tcp -- anywhere anywhere tcp dpt:mysql
ACCEPT tcp -- anywhere anywhere tcp dpt:postgresql
ACCEPT tcp -- anywhere anywhere tcp dpt:9008
ACCEPT tcp -- anywhere anywhere tcp dpt:glrpc
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT icmp -- anywhere anywhere icmp type 8 code 0
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN reject-with tcp-reset
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN reject-with tcp-reset
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Meiner Meinung nach stehen die ACCEPT anywhere anywhere-Regeln viel zu weit oben... Hat mir das Plesk-Modul doofe Regeln produziert oder versteh ich sie nur nicht? :)


Gruß,

lynix

carstenj
28.06.06, 16:03
Hi,

so wie ich das sehe, ist das komplett nutzlos, da auf deinen Server eigentlich nicht zugegriffen werden kann:

DROP all -- anywhere anywhere state INVALID
Dadurch werden im Grunde alle Pakete verworfen, da deine Ports ja nicht erreichbar sind, und dadurch eben auch keine "related", "established" und "new" Connections entstehen können.

lynix
28.06.06, 18:31
Hi, carstenj!

Das find ich jetzt seltsam, denn auf meinen vServer kann DEFINITIV zugegriffen werden, ich hab das gepostete Listing ja per SSH abgefragt... ;)


Gruß,

lynix

carstenj
29.06.06, 10:00
Hi,

habe die Regeln bei mir auch mal erstellt, es funktioniert auch dort. Verstehe ich aber nicht, da die Regeln eigentlich nur ESTABLISHED und RELATED Pakete durchlassen. Bei einem Verbindungsaufbau würde aber NEW zum Tragen kommen, was du aber nicht explizit erlaubst. Dadurch müsste es eigentlich durch die DROP Regeln verworfen werden, da es sich um INVALID-Pakete handelt.


ACCEPT all -- anywhere anywhere
Das ist aber beides Male unsinnig, da du erstens dadurch deine DROP Default policy aushebelst, und das zweitens auch unsicher ist. Falls du nämlich Pakete in deinem Regelwerk nicht explizit berücksichtigt hast, werden diese automatisch durchgelassen.

carstenj
29.06.06, 22:47
Hi,

hab mich vertan. INVALID bedeutet, dass das Paket nicht erkannt werden kann:
http://linuxfaq.de/f/cache/382.html