DoS:Source Server + Firewall iptables s4y

[zabulus]

Hallo,

ich betreibe seit einiger Zeit auf einem RootDS Server von s4y einen DoD:S Server (CS:S).
Bisher habe ich das ganze immer ohne firewall aktivieren können - jetzt möchte ich aber gerne die Firewall IMMER angeschaltet lassen.
Dazu habe ich mir entsprechende Regeln für iptables erstellt:

Quelle: Prot.: Remote-P.: Local-P.: Typ: Status:
Alle udp Alle 1200 Allow aktiv
Alle tcp Alle 27015 Allow aktiv
Alle udp Alle 27000:27030 Allow aktiv
Alle tcp Alle 27030:27039 Allow aktiv

Leider funktioniert das so nicht wirklich - der Server lässt sich nicht starten und bleibt bei:

Auto detecting CPU
Using SSE2 Optimised binary.
Auto-restarting the server on crash
Updating server using Steam.
Checking bootstrapper version ...

...hängen..

Ohne Firewall funktioniert es. Ausgehende Verbindungen sind auch an (erlaubt).

Any ideas ?

 

[Firewire2002]

Ich habs am Anfang auch mit der Firewall übers Powerpanel probiert,
irgendwann hat ich von dem Teil die Schnauze voll, weil das ding net das macht was eingestellt is.

Setze meine IPTables seit einiger Zeit nun über ein Script direkt vom vServer aus.
Funktioniert wenigstens zuverlässig.

 

[zabulus]

ich habe mir sowas schon gedacht - was für ein script benutzt du dafür ?

 

[Firewire2002]

hab mir selbst ein kleines Bash-Script getippt,
wobei von "Script" sollte ich da vielleicht gar nicht mal reden

einfache Auflistung der iptable Commands in einer sh File,
executable gesetzt und per cron ausführen lassen.

 

[zabulus]

ok, da ich mich so gut wie gar nicht mit iptables auskenne - kannst du mir mal einen auszug daraus schicken damit ich eine idee davon bekomme ?

Warum cronjob ? Ich denke einmal sollte doch reichen oder ?

 

[Firewire2002]

sobald ich zu Hause bin post ich dir meine IPTables (in ca 2-3Stunden)

Cron-Job nur damit sie beim Reboot automatisch geladen werden,
sprich Cron@Reboot
Solltest du allerdings erst eintragen wenn du die IPTables vorher getestet hast, sonst kannst dich schnell mal selbst aussperren (wärst nicht der erste )

 

[zabulus]

cool, thx
dann werde ich das wohl auch so machen ;-)

 

[Firewire2002]

MOD: Source-Code in CODE-Tags setzen

#!/bin/bash

#Alles löschen was gesetzt ist (ermöglicht auch ein neu setzen oder aktualisieren der IPTables)
iptables --flush

#Standartmässig ausgehende Verbindungen aktzeptieren
iptables -P OUTPUT ACCEPT

#Standartmässig eingehende Verbindungen auf localhost aktzeptieren
iptables -A INPUT -i lo -j ACCEPT

#Rules für INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 6667 -j ACCEPT
iptables -A INPUT -p tcp --dport 7029 -j ACCEPT
iptables -A INPUT -p tcp --dport 27015 -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -j ACCEPT
iptables -A INPUT -p tcp --dport 3784 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT
iptables -A INPUT -p udp --dport 27016 -j ACCEPT
iptables -A INPUT -p tcp --dport 50022 -j ACCEPT

#Standartmässig eingehende Verbindungen auf allen Interfaces unterbinden (sollte am Ende bleiben)
iptables -P INPUT DROP

In wiefern es bei einem Server sinnvoll ist, ist sehr umstritten.
Die einen kommen mit der Meinung Firewall ist sinnlos, wenn man eh nur die Dienste laufen hat die man braucht.
Die anderen meinen Firewall ist für noch mehr nützlich als nur Ports zu blocken (zum Logging zum Beispiel, wobei das auf vServern meistens eh schief geht weil die nötigen Kernelmodule nicht geladen sind und vom User nicht nachgeladen werden können)

Ich hab nen Mix aus beidem bisher, Portfilter und die Möglichkeit weitere Funktionen der IPTables zu nutzen
In wie weit ich das noch ausbauen werd, weiß ich noch nicht.

Gibt ja genügend Ideen zu IPTables im Netz.

 

[zabulus]

ja super, schönen Dank.
Werde es am WE mal testen.

Nur kurz zum Verständnis..
Das Script führe ich einmal aus - und damit ist die firewall aktiviert ? oder muss ich im PowerPanel die Firewall noch aktivieren ?

 

[kannnix]

AFAIK ist die Powerfirewall eine von S4y vor den Server geschaltete Firewall, somit sind das 2 verschiedene Sachen.

MfG

 

[Firewire2002]

@zabulus
ja, script ausführen und die IPTables sind sofort aktiv

@kannnix
die Firewall übers Powerpanel macht im eigentlichen nichts anderes als das Script auch, die setzt die IPTables direkt auf dem vServer/RootDS.
nur mit Rules die hinten und vorn net so funktionieren wie sie im Powerpanel beschrieben werden

 

[kannnix]

@zabulus
@kannnix
die Firewall übers Powerpanel macht im eigentlichen nichts anderes als das Script auch, die setzt die IPTables direkt auf dem vServer/RootDS.

Ok, das wusste ich nicht. Habe selbst keinen S4y, und habe meine Interpretation aufgrund vieler hier erstellten Beiträge gefällt.
Danke für die Aufklärung.

MfG