[Debian] IPTables script - ok of niet? - Linux en overige clients

zondag 19 januari 2003 05:04

Acties:

Best life ever

Topicstarter

ben bezig geweest met het opstellen van een script

bedoeling:

www/ftp/email/dns/ping/ssh/ssl/ + rest poorten (zie config) moeten werken
ik heb alleen het gevoel dat het niet ok is wat er nu staat, daarom post ik het hier...als iemand nog ideeën,tips etc heeft, graag!

code:

#!/bin/sh

EXTIF="eth0"

# Flushing
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t mangle

# Negeer 'snort' of 'ICMP (ping) broadcast'-aanval
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bescherming tegen 'ICMP dead error replies'
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Beveiliging tegen IP spoofing 
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Voorkom ICMP redirects acceptatie en verzending
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Filter Stuff

iptables -P INPUT DROP
iptables -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 9981 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 0 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 8 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 0 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 8 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

is het een beetje goed ingesteld? Dat is nml me vraag....ben newbie qua iptables nml

[ Voor 88% gewijzigd door Crazy- op 19-01-2003 05:58 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

zondag 19 januari 2003 10:39

Acties:

_JGC_

Persoonlijk zou ik die input drop policy onderaan zetten, als je klaar bent met openstellen. Verder voor je begint met filteren dezen er nog in:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT

zondag 19 januari 2003 10:53

Acties:

Tomaat

Is dit niet een beetje klein script? Ik zag in een ander topic een script van wel 3 pagina's lang

zondag 19 januari 2003 11:07

Acties:

blaataaps

Tomaat schreef op 19 januari 2003 @ 10:53:
Is dit niet een beetje klein script? Ik zag in een ander topic een script van wel 3 pagina's lang

Langer is niet altijd beter. Vooral als je nog niet zoveel ervaring hebt, kan het zin hebben simpel en klein te beginnen, en later steeds uitbouwen. Als een kort en simpel aantal regels bereikt wat je wil, heeft het echt geen zin 3 pagina's te gebruiken..

zondag 19 januari 2003 11:12

Acties:

Tomaat

Oke, duidelijk. Dus als ik het goed begrijp, zet dit script alle poorten dicht, behalvde dus de poorten die onderaan staan?

zondag 19 januari 2003 11:15

Acties:

_JGC_

Tomaat schreef op 19 januari 2003 @ 10:53:
Is dit niet een beetje klein script? Ik zag in een ander topic een script van wel 3 pagina's lang

Ik ken die scripts ook wel. Uiteindelijk is bovenstaand script beter.
Stel je voor, je draait een heleboel services op je server welke je alleen op de interne interface beschikbaar wilt. Wat is dan handiger? INPUT policy op ACCEPT en _AL_ die poorten dichttimmeren, voor zowel UDP als TCP, ben je lekker lang bezig en als je 1 vergeet ben je nog niet veilig.

Op school hebben we voor alle servers een script gelijk aan bovenstaande gemaakt, alleen werd ie iets langer omdat er ook n00bs op school mee moeten kunnen werken als wij er niet meer zijn. Wat overigens ook aardig lukt: ik heb een docent ff het script laten zien, heeft ie het zelf omgebouwd naar een NAT script met firewalling op dezelfde manier

zondag 19 januari 2003 15:33

Acties:

Hagar

Diabootic

_JGC_ schreef op 19 januari 2003 @ 11:15:
[...]

Ik ken die scripts ook wel. Uiteindelijk is bovenstaand script beter.
Stel je voor, je draait een heleboel services op je server welke je alleen op de interne interface beschikbaar wilt. Wat is dan handiger? INPUT policy op ACCEPT en _AL_ die poorten dichttimmeren, voor zowel UDP als TCP, ben je lekker lang bezig en als je 1 vergeet ben je nog niet veilig.

Op school hebben we voor alle servers een script gelijk aan bovenstaande gemaakt, alleen werd ie iets langer omdat er ook n00bs op school mee moeten kunnen werken als wij er niet meer zijn. Wat overigens ook aardig lukt: ik heb een docent ff het script laten zien, heeft ie het zelf omgebouwd naar een NAT script met firewalling op dezelfde manier

Het script waar hij het over heeft bestaat voornamelijk uit bash scripttaal.
De uiteindelijke output aan iptables regels is niet veel groter dan dat van de topic starter (nou ja, wel een beetje uitgebreider

)
http://monmotha.mplug.org/firewall/index.php

Nu ook zonder stropdas

zondag 19 januari 2003 16:18

Acties:

Crazy-

Best life ever

Topicstarter

ok nu heb ik dit:

code:

#!/bin/sh

EXTIF="eth0"

# Flushing
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t mangle

# Negeer 'snort' of 'ICMP (ping) broadcast'-aanval
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bescherming tegen 'ICMP dead error replies'
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Beveiliging tegen IP spoofing 
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Voorkom ICMP redirects acceptatie en verzending
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Filter Stuff

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 9981 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 0 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 8 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 0 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 8 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP

maar dan krijg ik dit:

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

dat heeft te maken met:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

zondag 19 januari 2003 18:54

Acties:

Buffy

Fire bad, Tree pretty

CIOMrCrazy schreef op 19 January 2003 @ 16:18:
ok nu heb ik dit:

[..]

maar dan krijg ik dit:

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

dat heeft te maken met:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT

Waarschijnlijk heb je niet de state module in je kernel gebakken.
Het is geloof ik de configuratie optie CONFIG_IP_NF_MATCH_STATE.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

zondag 19 januari 2003 18:59

Acties:

_JGC_

Ik compileer altijd _ALLE_ iptables modules in mn kernel. Tuurlijk gebruik je ze niet allemaal, maar het zijn er zoveel dat je door de bomen het bos niet meer ziet.

Als je dat doet: NAT of local connections uit laten, evenals de ipfw en ipchains support.

Heb wel vaker gehad dat je een leuk IPTables script aan't bouwen was en ineens had je de benodigde module niet, kan je weer compilen

zondag 19 januari 2003 19:19

Acties:

Jaap-Jan

In Debian kun je rc_filter ook inschakelen in /etc/network/options. als je daar 'spoofprotect naar 'yes' zet, hoef je die niet te activeren in dit script. Dan wordt rc_filter namelijk bij het starten al aangezet. Je kunt hier ook 'syncookies=yes' en 'forward=yes' toevoegen, voor respectievelijk bescherming tegen TCP SYN flooding en het inschakelen van IP Forwarding.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

zondag 19 januari 2003 21:25

Acties:

Jelmer

beetje offtopic, Waarom voor debian scriptjes schrijven als er een hele infrastructuur voor is??
Dingen als echo 1>/proc/sys/net/ipv4/ip_forward kun je in /etc/sysctl.conf kwijt (noteer ze daar als bijv net/ipv4/ip_forward=1)

Verder kun je je iptables met /etc/init.d/iptables save active opslaan en dan worden ze @ boottime weer geladen.

maandag 20 januari 2003 01:28

Acties:

Crazy-

Best life ever

Topicstarter

k, tis aardig gelukt

op 2 dingen na:

code:

#!/bin/sh

EXTIF="eth0"

# Flushing
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t mangle

# Negeer 'snort' of 'ICMP (ping) broadcast'-aanval
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bescherming tegen 'ICMP dead error replies'
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Beveiliging tegen IP spoofing 
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Voorkom ICMP redirects acceptatie en verzending
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Filter Stuff
iptables -P INPUT DROP
iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $EXTIF -m state --state NEW -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 1 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 1 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 9981 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 7 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 7 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

nog steeds error bij:

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

wat te maken heeft met:

iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $EXTIF -m state --state NEW -j ACCEPT

en probleem 2 is:

FTP en me DNS server werkt nog niet
port scan geeft port 53 wel open, maar ik krijg geen resolve terug, volgens mij te maken met die 2 rules van hier boven ?

iemand een id ?

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

maandag 20 januari 2003 05:10

Acties:

Buffy

Fire bad, Tree pretty

CIOMrCrazy schreef op 20 januari 2003 @ 01:28:
k, tis aardig gelukt

op 2 dingen na:

[..]

nog steeds error bij:

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

wat te maken heeft met:

iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $EXTIF -m state --state NEW -j ACCEPT

en probleem 2 is:

FTP en me DNS server werkt nog niet
port scan geeft port 53 wel open, maar ik krijg geen resolve terug, volgens mij te maken met die 2 rules van hier boven ?

iemand een id ?

De state regels werken waarschijnlijk niet omdat de state module niet in de kernel zit. En als ze wel zouden werken dan zou je bak volledig opstaan wat betreft je externe interface. Je interne interface (locale netwerk als je dat hebt) zit dan echter pot dicht.
Dit komt omdat je de '!' bent vergeten in de 'state NEW' regel.
Als je niet de state module gaat gebruiken dan zul je ook de unprivilege open moeten zetten voor tcp (alleen non SYNC) en udp.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

maandag 20 januari 2003 14:06

Acties:

Crazy-

Best life ever

Topicstarter

ok ik heb state support nu aan in de kernel, alles eigenlijk

maar...toch werkt het nog niet, dezelfde errors blijven....

nu snap ik het dus echt niet meer.....kernel 2.4.20-SMP btw, handmatig gecompiled, alles werkt...behalve dit dus...iemand ?

code:

#!/bin/sh

EXTIF="eth0"

# Flushing
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t mangle

# Filter Stuff
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 1 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 1 -j ACCEPT

#FTP
iptables -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp ! --syn --source-port 20 --dport 1024:65535 -j ACCEPT

iptables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 9981 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT

# DNS
iptables -A INPUT -i $EXTIF -p udp --source-port 53 --destination-port 1024:65535 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --source-port 1024:65535 --destination-port 53 -j ACCEPT

iptables -A INPUT -i $EXTIF -p tcp --dport 7 -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --dport 7 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

[ Voor 99% gewijzigd door Crazy- op 20-01-2003 15:02 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

maandag 20 januari 2003 15:40

Acties:

_JGC_

DNS queries gaan nog altijd over poort 53 tcp

maandag 20 januari 2003 16:02

Acties:

Jelmer

_JGC_ lees jij de RFC nog maar eens door dan.... http://www.ietf.org/rfc/rfc1035.txt
(paragrafen 4.2.1 en 4.2.2)

UDP is not acceptable for zone transfers, but is the recommended method
for standard queries in the Internet. Queries sent using UDP may be
lost, and hence a retransmission strategy is required. Queries or their
responses may be reordered by the network, or by processing in name
servers, so resolvers should not depend on them being returned in order.

oftewel, zowel tcp als udp 53 moet je officieel open hebben als je DNS host.

[ Voor 8% gewijzigd door Jelmer op 20-01-2003 16:04 ]

maandag 20 januari 2003 16:45

Acties:

Silva

Ik heb het even heel snel doorgelezen dus als ik fouten maak jammer dan

De topic starter wil naar mijn idee alleen maar op een computer die direct aan internet hangt een firewall hangen.

Als de topicstarter nou deze regels in zijn firewall opneemt dan doet alles het en kan de buitenwereld geen verbinding met deze computer opbouwen:

code:

#!/bin/sh

EXTIF="eth0"

# Flushing
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t mangle

# Negeer 'snort' of 'ICMP (ping) broadcast'-aanval
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bescherming tegen 'ICMP dead error replies'
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Beveiliging tegen IP spoofing 
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Voorkom ICMP redirects acceptatie en verzending
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Filter Stuff

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Voor het doorlaten van het verkeer naar buiten.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT

That's it lijkt me!

Als je nu ook OUTPUT wil droppen dan gaat het flink wat moeilijker worden want dan mag jij geen verbindingen met de buitenwereld maken en dat wil je denk ik wel!

maandag 20 januari 2003 17:04

Acties:

_JGC_

Jelmer schreef op 20 januari 2003 @ 16:02:
_JGC_ lees jij de RFC nog maar eens door dan.... http://www.ietf.org/rfc/rfc1035.txt
(paragrafen 4.2.1 en 4.2.2)

[...]

oftewel, zowel tcp als udp 53 moet je officieel open hebben als je DNS host.

Yup, je hebt gelijk. toen ik de nmap scan deed werd alleen poort 53 tcp open gevonden, 53 udp is er ook nog ja.
Voor zonetransfers UDP, voor queries TCP, dat is de manier zoals Dan J Bernstein het geimplementeerd heeft. Heb hier het volgende:

c111031:/home/jan# netstat -an | grep 53

code:

1
2
3

tcp        0      0 192.168.0.1:53          0.0.0.0:*               LISTEN
udp        0      0 192.168.0.1:53          0.0.0.0:*
udp        0      0 127.0.0.1:53            0.0.0.0:*

die op localhost is mn DNS server met zonetransfer zooi, die op 192.168.0.1 is mn gewone caching DNS server die weet dat mn inaddr en localnet zonefiles op 127.0.0.1 te vinden zijn.

maandag 20 januari 2003 19:29

Acties:

Verwijderd

Flame van topicstarter verwijderd.

maandag 20 januari 2003 20:02

Acties:

Verwijderd

Is het niet mogelijk om zo'n sticky topic te maken over iptables firewalls als mensen vragen hebben? Staan ontzettend veel losse posts nu.

maandag 20 januari 2003 21:39

Acties:

Crazy-

Best life ever

Topicstarter

hm ik heb nog 1 probleem

ik kan nu niet meer vanaf de server zelf naar buiten toe verbinden met een SMTP server

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

dinsdag 2 augustus 2005 08:28

Acties:

Verwijderd

Verwijderd schreef op maandag 20 januari 2003 @ 20:02:
Is het niet mogelijk om zo'n sticky topic te maken over iptables firewalls als mensen vragen hebben? Staan ontzettend veel losse posts nu.

lijkt me inderdaad handig..misschien een makkelijk te lezen walkthrough? et hele internet staat vol met allerlei lastige walkthroughs en how-to's..maar voor newbies is het niet altijd makkelijk te begrijpen (voor mij ook niet..)

dinsdag 2 augustus 2005 10:09

Acties:

Wilke

Verwijderd schreef op dinsdag 02 augustus 2005 @ 08:28:
lijkt me inderdaad handig..misschien een makkelijk te lezen walkthrough? et hele internet staat vol met allerlei lastige walkthroughs en how-to's..maar voor newbies is het niet altijd makkelijk te begrijpen (voor mij ook niet..)

Is het misschien een idee om voortaan even naar de datum van de laatste post te kijken, voordat je een 2 jaar oud topic kickt met tamelijk nutteloze toevoegingen? Die waarschuwing staat er ook niet voor niets namelijk...

[ Voor 6% gewijzigd door Wilke op 02-08-2005 10:10 ]