sslug-teknik team mailing list archive

Thread
Date

Re: iptables & ssh

To: sslug-teknik@xxxxxxxx
From: Henrik Storner <henrik@xxxxxxx>
Date: Tue, 13 Dec 2005 16:35:47 +0000 (UTC)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.
User-agent: nn/6.6.5+RFC1522

In <200512131326.jBDDQpVB006501@xxxxxxxxxxxxxxxxxx> "Mogens Melander" <mogens@xxxxxxxxxxxxx> writes:

>Jeg har en mistanke om at jeg er gået glip af et eller andet
>væsentligt. Når jeg connecter med ssh til serveren tager det
>laaang tid at komme til prompted. skurken er tilsyneladende
>følgende regel:

># default rule - drop alt der kommer udefra
>iptables -A INPUT -i $EXTIF -p all -s 0/0       -j DROP

>Uden den flyver jeg lige igennem til prompt.


Jeg kan ikke lige gennemskue hvorfor, for jeg er lidt forvirret over den
måde du sætter det op på:


>/etc/rc.d/rc.firewall

>iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE


For det første, så savner jeg at du definerer din default policy for INPUT, 
OUTPUT og FORWARD. Normalt sætter man den til DROP, men default er faktisk
ACCEPT ...


># Tillad igangværende sessioner
>iptables -A FORWARD -i $EXTIF -o $PRVIF -m state --state ESTABLISHED,RELATED    -j ACCEPT
>iptables -A FORWARD -i $EXTIF -o $PUBIF -m state --state ESTABLISHED,RELATED    -j ACCEPT

Her bruger du state-matching regler. Men i alle de andre regler gør du ikke.
Jeg tror det er her, der går noget galt. Har du prøvet at erstatte disse regler:

>#tillad trafik til, smtp pop3 samt dns
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport ssh           -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport smtp          -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport domain        -j ACCEPT
>iptables -A INPUT -i $EXTIF -p udp -s 0/0 --dport domain        -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport http          -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport https         -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport pop3          -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport imap          -j ACCEPT
>iptables -A INPUT -i $EXTIF -p tcp -s 0/0 --dport mysql         -j ACCEPT


med disse her:


for TCPSERVICE in ssh smtp domain http https pop3 imap mysql
do
   iptables -A INPUT -m state -i $EXTIF -p tcp --dport $TCPSERVICE --state NEW -j ACCEPT
done

for UDPSERVICE in domain
do
   iptables -A INPUT -m state -i $EXTIF -p tcp --dport $UDPSERVICE --state NEW -j ACCEPT
done

iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



(Og kører du virkelig en DNS- og en MySQL-server som der skal være offentlig
 adgang til ? Tjah ...)



Henrik

References

iptables & ssh
From: Mogens Melander, 2005-12-13