PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall - Drop all except some Ports funktioniert nicht


opa-rudi
17.02.19, 21:26
Hallo Leute,

ich habe hier einen Debian Stretch Server als virtuelle Maschine am laufen und wollte nun die Firewall einrichten. Hierbei wollte ich alle Ports "droppen" und dann ein paar Ausnahmen regeln, um beispielsweise auf den Mailserver zugreifen zu können. Nachfolgend die iptables-Konfiguration:


iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:webmin
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:submission
ACCEPT tcp -- anywhere anywhere tcp dpt:urd
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Leider bekomme ich keine Verbindung zwischen Mailclient und Server hin, sobald die "Drop all" Regel aktiviert ist. Mein Client meldet mir, dass eine Verbindung auf Port 143 nicht möglich sei. SSH und FTP funktioniert mit der "Drop all"-Regel. Hat hier jemand eine Idee, warum die Verbindung nicht möglich ist?

Grüße!
marce
18.02.19, 08:40
AFAIK wird die Liste von oben nach unten abgearbeitet - sprich "Du gibst erst ein paar Ports frei und schmeißt dann alles weg."

-> Erst alles droppen und dann das gewünschte freigeben.
DrunkenFreak
18.02.19, 10:18
Soweit richtig. Aber beim ersten Treffer sollte er aussteigen und die darunter liegenden garnicht mehr ausführen.

Ich würde allerdings die policy umstellen auf DROP. Hat den gleichen Effekt wie der letzte Eintrag.
opa-rudi
18.02.19, 11:52
Das funktioniert leider nicht (bereits ausprobiert). Die Reihenfolge sollte so schon korrekt sein. SSH und FTP funktionieren ja auch mit dieser Reihenfolge. Das Problem tritt nur beim Mailserver auf.
opa-rudi
18.02.19, 11:54
Soweit richtig. Aber beim ersten Treffer sollte er aussteigen und die darunter liegenden garnicht mehr ausführen.

Ich würde allerdings die policy umstellen auf DROP. Hat den gleichen Effekt wie der letzte Eintrag.

Welche Policy soll ich auf Drop umstellen?