TheNose
13.07.06, 15:53
Hallo!
Bin dabei auf meinem Server mit Iptables eine Firewall einzurichten. Habe es jetzt geschafft, dass alle Verbindungen abgelehnt werden bis auf SSH. Danach konnte ich logischerweise vom Server aus keine Domains mehr auflösen. Ich habe also versucht DNS freizugeben. Das sieht bei mir jetzt so aus:
#DNS
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.145 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.145 --sport 53 -j ACCEP
Hab ich das richtig gemacht? Ich möchte nur, dass mein Server z.B. für apt-get der wget eine Domain auflösen kann. Muss ich dazu INPUT und OUTPUT freigeben? Einen DNS Server betreibe ich nicht, daher sollte dieser Prot wenn möglich auch nicht erreichbar sein.
Wie sieht es aus, wenn ich eben z.B. für wget auch FTP und HTTP Verbindungen benötige? Muss ich das so machen?
#HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
Oder muss man da ganz anders drangehen?
Bin dabei auf meinem Server mit Iptables eine Firewall einzurichten. Habe es jetzt geschafft, dass alle Verbindungen abgelehnt werden bis auf SSH. Danach konnte ich logischerweise vom Server aus keine Domains mehr auflösen. Ich habe also versucht DNS freizugeben. Das sieht bei mir jetzt so aus:
#DNS
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.144 --sport 53 -j ACCEPT
iptables -A INPUT -p udp -s 80.237.128.145 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 80.237.128.145 --sport 53 -j ACCEP
Hab ich das richtig gemacht? Ich möchte nur, dass mein Server z.B. für apt-get der wget eine Domain auflösen kann. Muss ich dazu INPUT und OUTPUT freigeben? Einen DNS Server betreibe ich nicht, daher sollte dieser Prot wenn möglich auch nicht erreichbar sein.
Wie sieht es aus, wenn ich eben z.B. für wget auch FTP und HTTP Verbindungen benötige? Muss ich das so machen?
#HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
Oder muss man da ganz anders drangehen?