Re: ssh & iptables
Klaus Becker schrieb:
> n'Abend,
>
> ich habe Guarddog, das ich bis jetzt benutzt habe, rausgeschmissen und benutze
> jetzt iptables. Auf Rechner1 und Rechner2 habe ich die gleichen
> Dateien /etc/network/if-pre-up.d/iptables-start, in denen u. A. steht:
>
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A INPUT -p udp --dport 22 -j ACCEPT
Was hast du denn in der OUTPUT Chain stehen? Wenn du das Versenden der
Antworten blockierst, geht da nix. Das erledigst du am Besten damit,
dass du alle Packete zulässt, die zu Verbindungen gehören, die bereits
existieren (deren Aufbau du also zugelassen hast). Das macht man mit:
iptables -A CHAIN -m state --state ESTABLISHED,RELATED -j ACCEPT
wobei CHAIN für INPUT, OUTPUT und FORWARD steht - oder natürlich andere
selbst definierte Ketten, wenn du solche verwenden willst. Kommt auf
deine Konfiguration an.
Was bedeutet das ganze? Mit deiner ersten Regel (tcp reicht für ssh)
erlaubst du den Zugriff und somit den Aufbau einer Verbindung. Die
Pakete dieser Verbindung erhalten den Status ESTABLISHED und/oder
RELATED. Diese lässt du dann mit der zweiten Regel deiner Firewall in
der OUTPUT Chain passieren. Die ESTABLISHED,RELATED Regeln habe ich sehr
weit oben in meinem Skript platziert, so dass diese als erstes
abgearbeitet werden.
>
> Wie ich jetzt die Firewall starte/stoppe, ist mir nicht klar.
Script mit den Regeln anlegen und dieses ausführen. Regeln gibt es für
das erzeugen der Chains sowie das Löschen. Am besten mal auf
netfilter.org das HowTo anschauen, da wird alles sehr schön erklärt.
Grüße
Marc
Reply to: