PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : webmin + iptables


boxa
29.07.02, 08:10
Hallo Experten,

mit Iptables möchte ich vermeiden, dass aus dem Internet auf Webmin zugegriffen werden kann:

#Webmin
iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 10000 -j DROP
iptables -A OUTPUT -o eth1 -p tcp --sport 10000 -j DROP

Leider funktioniert das nicht. Ich komme immer über beide Netzwerkkarten drauf. eth0 geht ins LAN und eth1 geht ins Internet. Webmin läuft über https. Weiß jemand was ich falsch mache?

Danke
Jinto
29.07.02, 09:55
Du bist also direkt mittels Ethernet an deinen Provider angebunden? Andernfalls ist eth1 garantiert nicht das von dir gesuchte Device.

Webmin kann bestimmt so konfiguriert werden, dass deine Zeilen überflüssig sind.
b-tommy
29.07.02, 12:26
moin;


das hängt auch davon ab, welche default-policies du gesetzt hast...

look @ iptables -L -v

sollten sie auf drop stehen, musst du eh alle gewünschten zugriffe explizit freigeben...soll heissen, das ziel wäre per default nicht erreichbar wenn du das nicht in einer anderen regel aus versehen ausser kraft gesetzt hast...(zum beipiel durch ne rgel, die uneingeschränkt ports >1023 freischaltet. diese inputports MÜSSEN erreichbar sein, um überhaupt komunizieren zu können..jedoch sollte das entweder über stateful inspection oder über eine überprüfung der flags erfolgen..

beispiele:

iptables -A INPUT -i <dein externes interface> -p tcp --dport 1023: --tcp-flags ACK -J ACCEPT


iptables -A INPUT -i <dein externes interface> -m state --state ESTABLISHED,RELATED -p tcp --dport 1023: -j ACCEPT

ich gehe in der nächsten regel davon aus, dass deine default-rules auf ACCEPT stehen.

iptables -a INPUT -i <dein externes interface> -p tcp --dport 10000 -j DROP


übrigens...denk daran...die reihenfolge der regeln spielt eine essentielle rolle..

wenn das nicht klappen sollte, schick mir mal das komplette ruleset an webmaster@it-secure-x.net, dann guck ich's mir mal an

@Jinto
klar...man kann festlegen, von welcher ip-adresse(range) aus webmin erreichbar sein soll...damit ist ein fremdzugriff ausgeschlossen...


ciao

tommy