PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPTables Hilfe



maxxp
25.06.07, 23:34
Hallo,

ich habe vor, meinen Root Server so abzusichern, dass nur von einer einzigen IP Adresse auf alle Ports zugegriffen werden kann. Alle anderen IPs haben lediglich auf den Webserver Port 80 Zugriff.
Habe mir meine Regeln wie folgt geschrieben:

/sbin/iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT #ACCEPT packets in state ESTABLISHED, RELATED
/sbin/iptables -A INPUT -i lo -j ACCEPT #ACCEPT all traffic on the lo interface
/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #ACCEPT all Webserver Traffic
/sbin/iptables -A INPUT -s 35.9.20.20 -j ACCEPT
/sbin/iptables -P INPUT DROP

wobei 35.9.20.20 die IP ist, von der Server aus administriert und auf MySQL zugegriffen wird.
Jetzt wollte ich fragen ob das so OK ist oder ob ich mich ggf. damit aussperre?

asi_dkn
26.06.07, 19:01
Wenn dine IP ändert auf jeden Fall ;)

Wenn vom Localhost nur auf MySQL zugegriffen werden muss kannst du g.g.F. den Zugriff auf den Port (3306 oder so) einschränken. Aber das sieht soweit gut aus.

Ich frage mich allerdings ob es nicht gescheiter wäre nur SSH von deinem Host zuzulassen oder ne Rule zu bauen welche generell SSH zulässt, jedoch bei mehr als 5 Anfragen pro Minute dicht macht... aber so genau hab ich das alles nicht intus. Aber wie gesagt, wenn deine IP ändert, hast du dich ausgesperrt ;)

derRichard
26.06.07, 21:13
hallo!

die regeln sind mehr oder weniger crap.

wenn du schon stateful filterst, dann auch in jeder regel.

schau dir das mal an:
http://harry.homelinux.org/modules.php?name=iptables_Generator

da kannst dir super einen regelsatz generieren lassen. :)

hth,
//richard

corresponder
28.06.07, 02:29
fwbuilder


gruss

c.

403
28.06.07, 03:12
hat den vorteil, das er fuer verschiedene Plattformen baut. :)