DerAufgeklUser
28.02.08, 16:22
Ahoi!
Ich wollte grade per nmap meine iptables rules testen, was zur Folge hatte, dass der Server wärenddessen nicht erreichbar war. Das ist so ungefähr garnicht das, was ich damit erreichen wollte. Normal ist das nicht, oder?
So sieht mein iptables-Skript aus:
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Invaliden aufzeichnen und abwerfen
iptables -A INPUT -i eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -i eth0 -m state --state INVALID -j DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A OUTPUT -o eth0 -m state --state INVALID -j DROP
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# REIN
iptables -A INPUT -i eth0 -p tcp --dport 20 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # FTP DATA
iptables -A INPUT -i eth0 -p tcp --dport 21 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # FTP
iptables -A INPUT -i eth0 -p tcp --dport 22 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # SSH
iptables -A INPUT -i eth0 -p tcp --dport 25 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # SMTP
iptables -A INPUT -i eth0 -p tcp --dport 80 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # HTTP
iptables -A INPUT -i eth0 -p tcp --dport 443 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # HTTPS
iptables -A INPUT -i eth0 -p tcp --dport 993 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # IMAPS
iptables -A INPUT -i eth0 -p tcp --dport 995 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # POP3S
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options
# RAUS
iptables -A OUTPUT -o eth0 -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-ip-options --log-tcp-options --log-uid
iptables -A OUTPUT -o eth0 -j ACCEPT
Jemand ne Idee, wo hier der Übeltäter steckt?
Ich wollte grade per nmap meine iptables rules testen, was zur Folge hatte, dass der Server wärenddessen nicht erreichbar war. Das ist so ungefähr garnicht das, was ich damit erreichen wollte. Normal ist das nicht, oder?
So sieht mein iptables-Skript aus:
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Invaliden aufzeichnen und abwerfen
iptables -A INPUT -i eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -i eth0 -m state --state INVALID -j DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A OUTPUT -o eth0 -m state --state INVALID -j DROP
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# REIN
iptables -A INPUT -i eth0 -p tcp --dport 20 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # FTP DATA
iptables -A INPUT -i eth0 -p tcp --dport 21 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # FTP
iptables -A INPUT -i eth0 -p tcp --dport 22 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # SSH
iptables -A INPUT -i eth0 -p tcp --dport 25 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # SMTP
iptables -A INPUT -i eth0 -p tcp --dport 80 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # HTTP
iptables -A INPUT -i eth0 -p tcp --dport 443 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # HTTPS
iptables -A INPUT -i eth0 -p tcp --dport 993 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # IMAPS
iptables -A INPUT -i eth0 -p tcp --dport 995 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # POP3S
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options
# RAUS
iptables -A OUTPUT -o eth0 -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-ip-options --log-tcp-options --log-uid
iptables -A OUTPUT -o eth0 -j ACCEPT
Jemand ne Idee, wo hier der Übeltäter steckt?