[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Konfiguration von iptables

Hallo Debian-Freunde

Ich konfiguriere mich nun erstmal durch iptables durch. Ehe ich nun alles komplett kaputtmache, wollte ich erstmal ein paar Wissende fragen, ob die iptables-Konfig so ok geht. Voran möchte ich anmerken, daß ich nfs auf die Ports 32765, 23766, 32767 und 32769 fest konfiguriert habe.

Der Server hat zwei Netzwerkkarten. Dieses iptables soll nur eth0 konfigurieren. eth1 ist als bridge0 konfiguriert. An bridge0 hängen die ganzen VMs. Wie ich gelesen habe, muß ja das dann per ebtables "abgesichert" werden.

und nun der iptables-kram für eth0:

*filter
#
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't $
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
#
# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# Allows all outbound traffic
-A OUTPUT -j ACCEPT
#
# Allows HTTP and HTTPS connections from anywhere
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
#
# Allows SSH connections (changed port according to sshd_config file)
-A INPUT -i eth0 -p tcp -m state --state NEW --dport 22 -j ACCEPT
#
-A INPUT -i eth0 -p tcp -p tcp --dport 1311 -j ACCEPT
#
# Allow SMB connections (network shares)
-A INPUT -i eth0 -s 192.168.92.0/24 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
#
# Allow nfs shares
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p udp --dport 111 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p tcp --dport 111 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p tcp --dport 2049 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p tcp --dport 32765 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p udp --dport 32765 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p tcp --dport 32766 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p udp --dport 32766 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p tcp --dport 32767 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p udp --dport 32767 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p tcp --dport 32769 -j ACCEPT
-A INPUT -i eth0 -s 192.168.92.0/24 -m state --state NEW -p udp --dport 32769 -j ACCEPT
#
# Allow VNC
-A INPUT -i eth0 -p tcp -m tcp --dport 5904 -j ACCEPT
#
# Allow ping
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#
# log iptables denied calls (access via "dmesg" command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
#
# Allow VNC
-A INPUT -i eth0 -p tcp -m tcp --dport 5904 -j ACCEPT
#
# Allow ping
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#
# log iptables denied calls (access via "dmesg" command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
#
# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -i eth0 -j REJECT
-A FORWARD -i eth0 -j REJECT
#
COMMIT

Ist das so korrekt?
Muß ich für eth1 folgendes anfügen? Oder ist das nicht nötig, da eth1 ja als bridge konfiguriert ist?
-A INPUT -i eth1 -j REJECT
-A FORWARD -i eth1 -j REJECT


Würde mich sehr über Unterstützung und Tipps freuen!
--
Viele Grüße
Johannes C. Schulz

Programmer - n. [proh-gram-er] an organism that turns caffeine and pizza into software“

Reply to: