Ahoi!

Ich wollte grade per nmap meine iptables rules testen, was zur Folge hatte, dass der Server wärenddessen nicht erreichbar war. Das ist so ungefähr garnicht das, was ich damit erreichen wollte. Normal ist das nicht, oder?

So sieht mein iptables-Skript aus:


iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Invaliden aufzeichnen und abwerfen
iptables -A INPUT -i eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -i eth0 -m state --state INVALID -j DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A OUTPUT -o eth0 -m state --state INVALID -j DROP
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


# REIN
iptables -A INPUT -i eth0 -p tcp --dport 20 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # FTP DATA
iptables -A INPUT -i eth0 -p tcp --dport 21 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # FTP
iptables -A INPUT -i eth0 -p tcp --dport 22 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # SSH
iptables -A INPUT -i eth0 -p tcp --dport 25 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # SMTP
iptables -A INPUT -i eth0 -p tcp --dport 80 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # HTTP
iptables -A INPUT -i eth0 -p tcp --dport 443 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # HTTPS
iptables -A INPUT -i eth0 -p tcp --dport 993 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # IMAPS
iptables -A INPUT -i eth0 -p tcp --dport 995 --syn -m limit --limit 1/s -m state --state NEW -j ACCEPT # POP3S
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options

# RAUS
iptables -A OUTPUT -o eth0 -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-ip-options --log-tcp-options --log-uid
iptables -A OUTPUT -o eth0 -j ACCEPT


Jemand ne Idee, wo hier der Übeltäter steckt?

ich vermute beim logging. hast du mit -T5 gescannt?

EDIT: kann aber auch andere Gruende haben :glaskugel:

Gescannt habe ich mit den default-Optionen (-sS -T3). Wenn ich die LOG-Regeln aus dem Script auskommentiere ist das Problem nochimmer da.
Auch die limit matches herauszunehmen ändert nichts.

Ich habe das jetzt mit identischen iptables-rules auf einem anderen Server bei einem anderen Anbieter getestet (Hetzner statt 1&1 um mal Namen zu nennen), wo es das Problem nicht gibt. Da schau her...

Korrektur: Von ner dickeren Leitung aus gescannt geht auch der bei Hetzner gehostete Server in die Knie.