PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : xen host und iptables



onkel-tobi
27.07.11, 20:56
Hi,

ich habe mir einen root server als xen host eingerichtet.
Ohne spezielle regeln bekomme ich das portforwarding usw. hin.
Nun würde ich aber den host ganz gerne absichern und nutze folgendes script:

# loopback
-A INPUT -i lo -j ACCEPT
-A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# outbound erlaubt
-A OUTPUT -j ACCEPT

# ssh
-A INPUT -p tcp --dport 33333-j ACCEPT

# ping erlauben
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# logging via dmesg od. /var/syslog
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# allen anderen inbound rejecten
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

Mit dieser config funktioniert allerdigns nicht einmal apt auf den VMs. Was offensichtlich an der letzten Regel liegt.
Wie genau bekomme ich es nun hin, dass die VMs genau das dürfen, was der host auch darf? Die VMs liegen im Netz 192.168.0.0/24 Verb. über die xenbr0.

Wer kann helfen?

Tobi

citty
28.07.11, 11:04
Damit APT usw. funktioniert musst du DNS (53) und HTTP (80) ausgehend erlauben.
Ich weiß nicht welches Linux du verwendest aber für Debian/Ubuntu kann ich dir "Ferm" wärmstens empfehlen, ist etwas übersichtlicher und du sparst dir einen ganzen Haufen Zeilen. ;)

LG Citty

onkel-tobi
29.07.11, 18:35
Das scheint nicht zu reichen.
sobald ich

-A FORWARD -j REJECT

aktiviere, verlieren meine VMs jede Verb.

Was mir außerdem aufgefallen ist, auch wenn ich input rejecte und einen portscan starte (von außen) bekomme ich noch ports wie smtp pop3 usw. angezeigt.
Meinen 157 ssh port bekomme ich nicht angezeit? Das kann doch irgendwie nicht sein, oder?

Tobi