IPTables und Privaten Adressen

[Sven_R]

Hallo,
seit geraumer Zeit hab ich einen IPSec Tunnel auf einer Hetzner Maschine
am laufen, von Zeit zu Zeit wird die Kiste jedoch gesperrt weil dort die
Privaten Adressen in Netz geschickt werden.


Wie kann ich das Unterbinden, das auf dem Öffentlichen Interface die Privaten
Adressen raus Fallen.


In punkto IPTables hab ich nicht so viel Erfahrung und stehe da irgendwie

Momentan auf dem Schlauch.


Gruß
Sven

 

[killerbees19]

Ich würde mal die Ursache ermitteln, woher die Pakete herkommen. Zum Blockieren selbst sollte so etwas reichen:

iptables -I OUTPUT -o <INTERFACE> -s 10.0.0.0/8 -j DROP
iptables -I OUTPUT -o <INTERFACE> -s 172.16.0.0/12 -j DROP
iptables -I OUTPUT -o <INTERFACE> -s 192.168.0.0/16 -j DROP
iptables -I OUTPUT -o <INTERFACE> -s 100.64.0.0/10 -j DROP
iptables -I OUTPUT -o <INTERFACE> -s 169.254.0.0/16 -j DROP
ip6tables -I OUTPUT -o <INTERFACE> -s fc00::/7 -j DROP

Eventuell wäre zusätzlich ein Log-Target sinnvoll, um die Herkunft bzw. das Ziel einzugrenzen.

 

[chris4000]

Warum sperrt Hetzner den Server, statt die Pakete selbst zu filtern?

 

[Joe User]

Warum sollte Hetzner soetwas tun?
Würde Hetzner (oder ein anderer Anbieter) einfach ohne meinen expliziten Willen irgendwelche Pakete filtern, wäre ich dort kein Kunde (mehr)...

 

[danton]

Warum sperrt Hetzner den Server, statt die Pakete selbst zu filtern?

Der Router von Hetzner wird die Pakete mit privaten IPs sehr wohl verwerfen, denn schließlich ist für diese Ranges festgelegt, dass sie nicht im Internet geroutet werden.
Aber soweit darf es eigentlich nicht kommen und Hetzner kann ja nicht überprüfen, ob es sich um eine einfache Fehlkonfiguration handelt oder nicht doch um eine Malware, die sich auf den Server geschlichen hat.
Und eine Server-Sperre ist auch ein recht eindrucksvolles Mittel, einem Server-Kunden zu sagen, dass er seine Hausaufgaben nicht gemacht hat. Bedenke dabei auch, dass viele Server leider nicht von Profis administriert werden, sondern teilweise sogar von Leuten, die von der Materie absolut keine Ahnung haben.