Erfahrungen mit IPtables Generatoren

[michael-08]

Was sagt ihr zu diesem iptables Generator?

Hier mal ein Beispielauszug mit allen möglichen auswählbaren Zusätzen:

#!/bin/sh

# iptables script generated 2009-09-04
# http://www.mista.nu/iptables

IPT="/sbin/iptables"

# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain

# Set default policies for all three default chains
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# All TCP sessions should begin with SYN
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -s 0.0.0.0/0 -j DROP

# Accept inbound TCP packets
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 110 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT

# Accept inbound UDP packets
$IPT -A INPUT -p udp -m udp --dport 123 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 67 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 53 -s 0.0.0.0/0 -j ACCEPT

# Allow inbound access to Samba shares
$IPT -A INPUT -p udp -m udp --dport 137 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p udp -m udp --dport 138 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -s 0.0.0.0/0 -j ACCEPT

# Accept inbound ICMP messages
$IPT -A INPUT -p ICMP --icmp-type 8 -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p ICMP --icmp-type 11 -s 0.0.0.0/0 -j ACCEPT

# Accept outbound packets
$IPT -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Ist so eine Firewall für den Einsatz geeignet? Abgesehen von der öffnung 0.0.0.0/0
Das kann man bei einer 2. Abfrage ja noch anpassen für spezielle Dienste wie ssh

#!/bin/sh

# iptables script generated 2009-09-04
# http://www.mista.nu/iptables

IPT="/sbin/iptables"

# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain

# Set default policies for all three default chains
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# All TCP sessions should begin with SYN
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -s 12.34.56.78 -j DROP

# Accept inbound TCP packets
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW -s 12.34.56.78 -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -s 12.34.56.78 -j ACCEPT

 

[Mordor]

Die Frage ist ja, wie sinnvoll eine Firewall auf einem Server ist. Wenn der nämlich richtig konfiguriert ist, und wenn nur die Dienste laufen, die auch benötigt werden, und diese auch richtig konfiguriert sind, braucht man eigentlich keine firewall.

 

[force4]

Richtig. Wo kein Port offen ist, gibt es auch nichts mit einer Firewall zu beschützen. Deshalb einfach alle Dienste ausschalten, die nicht benötigt werden, und die laufenden Dienste ggf. entsprechend Konfigurieren - dann braucht man auch keine zigtausend iptables-Regeln.

 

[Firewire2002]

Eine Firewall ist nicht nur ein Portfilter. Da gehört noch ein bisschen mehr dazu. Auch IPTables können mehr als nur Portsfiltern.
Daher sind generelle Aussagen wie "Firewall auf einem Server ist unnötig" nicht ganz korrekt. Man muss es differenzierter betrachten.

Allein weil IPTables teils schon Funktionen bieten, wovon einige Anwendungen noch träumen. Da kannst du noch so toll, richtig und sicher konfigurieren. Wo keine Funktion da ist, kann man auch nichts einstellen.

Ob eine Firewall nötig ist oder nicht, muss im Einzelfall geklärt werden. Generella Aussagen sind fehl am Platz.

 

[michael-08]

http://easyfwgen.morizot.net/gen/index.php

Ich habe hier noch einen Generator gefunden! Auch mal Standard settings gewählt, aber der hier hat es wohl sehr ausgefeilt!


Welches ist besser?

p.s.
ich musste es als Anhang posten, weil 30.000 Zeichen zu wenig waren

 

[wstuermer]

Was hältst Du davon, dir die entsprechenden Regeln selber zusammenzuschreiben?

Zum einen lernst Du dabei die Funktionsweise von iptables und die Wirkungsweise der einzelnen Parameter, zum Anderen weißt Du danach wenigstens genau, was Deine Firewall macht.

 

[LinuxAdmin]

Verstehst Du auch die Scripte/Regeln, die die Generatoren Dir ausspucken?

 

[michael-08]

Ich finde iptables ist ein sehr komplexes thema!

Zu dem Lernprozess gehört auch dazu fertiges und richtiges mit eigen kreation zu vergleichen!

So, deafult Policy setzen, Ports öffnen, IP Ranges sperren, IP freigeben, Dienste usw freimachen die Befehle dazu kenne ich!

Was da noch so grundlagen kommen wie related,established new usw Ist ja auch nicht alles. iptables so konfigurieren, dass ich sie bis ins letzte konfigurieren kann dauer noch länger!

Wie verschieden so ein Aufbau sein kann sieht man ja an den beiden Beispielen. Beide Scripte sind so mit den standard regeln versehen und entscheiden sich nicht nur wegen den chains grundsätzlich!

Naja. Ich verwende die eigentlich nicht blind, aber als beispielkonfiguration ziehe ich die heran