[Olug-list] hjelp: iptables oppsett

Kenneth Rørvik kenneth@argon.no-ip.com
Wed, 27 Aug 2003 08:58:18 +0200 (CEST) 

Espen Bø said:
> Hei.
> Kan noen hjelpe meg litt med iptables scriptet mitt. Jeg har prøvd og
> gi tilgang til ftp, ssh og webserver inn til maskinen min fra
> internett.

> # åpner for ftp-data, så jeg slipper å kjøre passiv ftp
> iptables -A INPUT -p tcp --dport   21:42   -i ppp0 -j DROP
> iptables -A INPUT -p udp --dport   21:42   -i ppp0 -j DROP

Umm, her dropper du alle porter mellom 21 og 42, i stedet for det som
kommentaren sier du skal gjøre, som ville blitt
iptables -A INPUT -p tcp --dport 21:22 -i ppp0 -j ACCEPT

I tillegg ville du behøvd connection tracking for ftp, og sannsynligvis
nat modul for ftp:
modprobe ip_conntrack_ftp; modprobe ip_nat_ftp

> # åpner for whois
> iptables -A INPUT -p tcp --dport   44:112   -i ppp0 -j DROP
> iptables -A INPUT -p udp --dport   44:112   -i ppp0 -j DROP

Nok en gang sperrer du for porter i stedet for å åpne noe.

> # Deretter tillater vi ftp og ssh inn fra internett til linux-
> # boksen din
> iptables -v -A INPUT -i ppp0 -p tcp --tcp-flags SYN,ACK,RST SYN --dport
> 21 -j ACCEPT
> iptables -v -A INPUT -i ppp0 -p tcp --tcp-flags SYN,ACK,RST SYN --dport
> 22 -j ACCEPT

Nei, det gjør du ikke, for disse sakene blir droppet ihht reglene over.
Når en regel treffes, vil ikke pakken gå lenger ned i kjedet.
> # da er reglene på plass, så da åpner jeg opp igjen.
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT

Du benytter litt kronglete metode, du sier at alt som ikke eksplisitt blir
droppet, skal slippes inn. Ulempen med det er at mange pakker som du vil
tillate lenger nede i scriptet blir eksplisitt droppet tidligere, av en
annen regel. Jeg ser tankene dine, at du lar reglene droppe pakker i de
intervallene du ikke vil ha noe. ulempene med dette er blant annet at du
får masse regler som potensielt kan begrense det du kan "slippe inn"
lenger nede, samt at scriptet ditt blir lenger og mer komplisert etter
hvert som du vil endre på det og tillate mer obskure ting.
Forsøk heller å sette POLICY til DROP på kjedene dine, og sett regler som
eksplisitt tillatter det du trenger. Da unngår du de kjedelige feilene du
har i dette oppsettet, og inntar en sunnere filosofi, "Dropper alt i
utgangspunktet, og tillater kun enkelte ting gjennom med eksplisitte
regler".
-- 
regards, Kenneth.
http://kenneth.rorvik.net
kenneth@rorvik.net
Tel. +47  40 09 49 49