Firewall - Drop all except some Ports funktioniert nicht

**opa-rudi** · 17.02.19, 21:26

Hallo Leute,

ich habe hier einen Debian Stretch Server als virtuelle Maschine am laufen und wollte nun die Firewall einrichten. Hierbei wollte ich alle Ports "droppen" und dann ein paar Ausnahmen regeln, um beispielsweise auf den Mailserver zugreifen zu können. Nachfolgend die iptables-Konfiguration:

Code:

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:webmin
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Leider bekomme ich keine Verbindung zwischen Mailclient und Server hin, sobald die "Drop all" Regel aktiviert ist. Mein Client meldet mir, dass eine Verbindung auf Port 143 nicht möglich sei. SSH und FTP funktioniert mit der "Drop all"-Regel. Hat hier jemand eine Idee, warum die Verbindung nicht möglich ist?

Grüße!

**marce** · 18.02.19, 08:40

AFAIK wird die Liste von oben nach unten abgearbeitet - sprich "Du gibst erst ein paar Ports frei und schmeißt dann alles weg."

-> Erst alles droppen und dann das gewünschte freigeben.

**DrunkenFreak** · 18.02.19, 10:18

Soweit richtig. Aber beim ersten Treffer sollte er aussteigen und die darunter liegenden garnicht mehr ausführen.

Ich würde allerdings die policy umstellen auf DROP. Hat den gleichen Effekt wie der letzte Eintrag.

**opa-rudi** · 18.02.19, 11:52

Das funktioniert leider nicht (bereits ausprobiert). Die Reihenfolge sollte so schon korrekt sein. SSH und FTP funktionieren ja auch mit dieser Reihenfolge. Das Problem tritt nur beim Mailserver auf.

**opa-rudi** · 18.02.19, 11:54

Zitat von DrunkenFreak

Soweit richtig. Aber beim ersten Treffer sollte er aussteigen und die darunter liegenden garnicht mehr ausführen.

Ich würde allerdings die policy umstellen auf DROP. Hat den gleichen Effekt wie der letzte Eintrag.

Welche Policy soll ich auf Drop umstellen?