S
server-lounge
Guest
Hallo,
wollte mal fragen ob das so reicht bzw. korrekt ist.
Danke schonmal
wollte mal fragen ob das so reicht bzw. korrekt ist.
Danke schonmal
Roger Wilco
Active Member
Bei der Konfiguration kannst du auch einfach auf den Paketfilter verzichten und nur den Webserver sowie SSH laufen lassen...
S
server-lounge
Guest
Grade mal gemerkt, kann keine Updates per "apt-get update" ziehen
Über welchen Port geht denn das?
Edit: @Roger Wilco, sicher ist sicher
Über welchen Port geht denn das?
Edit: @Roger Wilco, sicher ist sicher
Du hast du nur TCP erlaubt. Eventuell muss beim Pakete-Installieren eine Domain aufgelöst werden. DNS-Abfragen geschehen über Port 53 UDP. Vermutlich kannst du deswegen keine Pakete installieren.
Aber so wie deine Konfig' aussieht, kannst du auch ganz auf den Paketfilter verzichten. Denn außer UDP und ICMP filtert IPTables bei dir nichts wichtiges und die wirklich kritischen Sachen laufen meist mit TCP.
Aber so wie deine Konfig' aussieht, kannst du auch ganz auf den Paketfilter verzichten. Denn außer UDP und ICMP filtert IPTables bei dir nichts wichtiges und die wirklich kritischen Sachen laufen meist mit TCP.
Roger Wilco
Active Member
80/tcpÜber welchen Port geht denn das?
So führst du eine potentielle weitere Schwachstelle (Netfilter) ein.Edit: @Roger Wilco, sicher ist sicher
S
server-lounge
Guest
Also das Script sieht jetzt so aus...
Was ist daran Verbesserungsfähig...?
Außerdem kommt ja noch kram auf den Server
Edit: Mein erstes Mal (mit IPTables)...
Hab ich aus Tutorials und Themen hier im Forum gebastelt.
Code:
#! /bin/sh
echo "Lösche Regeln..."
iptables -F
echo "Verwerfe alles..."
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Lade Regeln für Port 2222 TCP..."
iptables -A INPUT -p tcp --destination-port 2222 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 2222 -j ACCEPT
echo "Lade Regeln für Port 80 TCP..."
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 80 -j ACCEPT
echo "Lade Regeln für Port 53 UDP..."
iptables -A INPUT -p udp --destination-port 53 -j ACCEPT
iptables -A OUTPUT -p udp --source-port 53 -j ACCEPT
echo "IPTables wurde geladen..."Was ist daran Verbesserungsfähig...?
Außerdem kommt ja noch kram auf den Server
Edit: Mein erstes Mal (mit IPTables)...
Hab ich aus Tutorials und Themen hier im Forum gebastelt.
Last edited by a moderator:
Roger Wilco
Active Member
Gut gemeinter Tipp: Lass es. Das bringt dir mehr Ärger als Nutzen ein.
Dir fehlt z. B. eine Regel für 53/udp und 53/tcp ausgehend. Außerdem fehlen dir generell Regeln für bereits bestehende Verbindungen (ESTABLISHED).
Dir fehlt z. B. eine Regel für 53/udp und 53/tcp ausgehend. Außerdem fehlen dir generell Regeln für bereits bestehende Verbindungen (ESTABLISHED).
S
server-lounge
Guest
Ist der Server dann trotzdem so sicher? Oder habt ihr gute (bessere) Anleitungen zum Thema oder vielleicht schon ein Script, wo allgemein gilt und man nur seine Ports eintragen muss, die man freigeben will (z.B. Eure)
Last edited by a moderator:
Roger Wilco
Active Member
Zumindest genauso sicher, wie ohne das Skript.
Einfach die Dienste, die du exponiert anbietest, korrekt konfigurieren und alle anderen erst gar nicht laufen lassen.