Ports für Distributionsserver

[stebu]

Ich habe mit iptables ausschliesslich die Ports http (www), https, ssh, 10000 für den Input freigegeben. Nun können die Updateservers nicht mehr erreicht werden. Was muss ich noch frei geben?

Prüfe Apt-Quellen...
Fehl Debian -- Security Information stable/updates/main Packages
Temporärer Fehlschlag beim Auflösen von »security.debian.org«
Fehl SWITCHmirror Home Page stable/main Packages
Temporärer Fehlschlag beim Auflösen von »mirror.switch.ch«
Fehl Debian -- Security Information stable/updates/main Release
Temporärer Fehlschlag beim Auflösen von »security.debian.org«
Fehl SWITCHmirror Home Page stable/main Release
Temporärer Fehlschlag beim Auflösen von »mirror.switch.ch«
Fehl Debian -- Security Information stable/updates/contrib Packages
Temporärer Fehlschlag beim Auflösen von »security.debian.org«
Fehl SWITCHmirror Home Page stable/contrib Packages
Temporärer Fehlschlag beim Auflösen von »mirror.switch.ch«
17% [Verbinde mit security.debian.org] [Verbinde mit mirror.switch.ch]

 

[TheSandman]

Einfach mal nen iptables -L posten.

Zudem fehlt mir DNS in deiner Auflistung um überhaupt Hostnamen auflösen zu können.

 

[stebu]

Weil ich bei Output alles offen gebe, sollte DNS möglich sein.
Zu beachten: Diese Firewall sitzt auf derselben Maschine wie der Webserver. Das ist auch ein grosses Problem, weil ich auf dem Netz meist nur Infos zu separaten Firewall bekomme (welche natürlich anders konfiguriert werden)

debian-Bs:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:10000

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

 

[amnesie]

Das Problem bei dir ist das Resolving: dein System macht, wenn es DNS-Anfragen tätigt, einen Port > 1024 dafür auf und erwartet dort auch die Antwort. Allerdings blockierst du diese Ports, d.h die Antwort wird vom Paketfilter weggeworfen.

Mein Tipp: Überleg dir deine Policy und ob du wirklich alles blockieren willst (es stellt sich mir die Frage, warum du das machst).

 

[stebu]

Der Grund für die Firewall: Ich möchte aus Sicherheitsgründen einfach nur das Zulassen was wirklich gemacht werden darf. Früher hatte ich einen eigenen Webserver hinter einer Firewall, nun habe ich einen dezidierten Server ohne weiteren Schutz.
Eigentlich müssten doch Rückantworten zugelassen werden. Bei meiner früheren Firewall erinnere ich mich nicht, dass ich speziell einen Port für DNS geöffnet hatte. Vielleicht habe ich das auch einfach vergessen. Wie müsste ich das freigeben oder

kennt jemand eine gute Policy für eine Firewall auf einem Webserver?

 

[amnesie]

Ein White-Listing der Ports ist an sich eine gute Idee, allerdings halt oftmals nicht praktikabel. Was ich dir empfehlen würde, wäre die Benutzung des state-Moduls:


iptables -A INPUT -m state --state related -j ACCEPT

Wenn du das noch reinhängst, müsste es IMHO möglich sein, Antworten auf ausgehende Requests auch durch den Filter zu kriegen. Lies aber bitte nochmals die einschlägige Doku durch, ich hab iptables schon ein paar Jahre nicht mehr in den Fingern gehabt.

 

[TheSandman]

Ich will jetzt nicht über Sinn -oder Unsinn von Firewalls auf Webservern streiten, das wurde schon des öfteren diskutiert.
Die Stichworte DNS sind jetzt schon von mir und von amnesie gefallen.

Eine gute Lektüre für dich:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html