Nastavení IPtables na serveru s Debianem

[darebacik]

Dobry den,
mam nainstalovany debian netinstall v KVM/qemu. Bezi mi tam len FTP server, ssh, openvpn a jedna sluzba na porte 17000.
Chcel by som si to zabezpecit netfilterom cez iptables
Debian (KVM) ma cez bridge realnu Ip adresu 192.168.1.100 (je v sieti 192.168.1.0/24)
Openvpn v debiane ma siet 10.8.0.0/24 (IP servera je teda 10.8.0.1)
Ako teda spravne nastavit iptables ?

Najprv by som asi vycistil vsetky retazce, vymazal vytvorene retazce a nastavil politiku

Kód: [Vybrat]

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROPPovolit lokalnu smicku

Kód: [Vybrat]

iptables -A INPUT -i lo -j ACCEPTpovolit naviazane a pribuzne spojenia

Kód: [Vybrat]

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTSSH by som chcel nastavit len na jednu IP a tak isto aj FTP

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s 192.168.1.4 -j ACCEPTOtvorenie portu 17000 pre kazdeho

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 17000 -j ACCEPTDalej by mal byt otvoreny port pre pakety prichadzajuce na vstupne rozhranie, ktore vytvaraju openvpn spojenie (ano mam to na tcp)

Kód: [Vybrat]

iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPTVsetko ostatne ma byt zahodene (vid politika)

Forwarding sa na tomto stroji nekona.
Zatial som iptables nikdy nenastavoval, len som to trochu studoval a vyhladaval info ako to funguje.
Su v tom nejake chyby ? Bude to pracovat tak ako predpokladam?

Skript by vyzeral takto

Kód: [Vybrat]

#!/bin/bash
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPTPS iptables je potrebne ulozit do nejakeho suboru ako skript a pri kazdom starte spustat napr. cez rc.local ?

[Reklama]

[David]

Zkuste to přes iptables-restore, jak popisuji tady - https://david.cesal.cz/nastaveni-site/ .

[Vilith]

Nebo si nainstaluj firewal ufw a res to v nem. Prijde mi prehlednejsi

Pro slozitejsi pravidla treba viz https://gist.github.com/kimus/9315140

[Martin Mlynář]

Na debianu stačí použít https://packages.debian.org/stretch/admin/netfilter-persistent a nemusíš nic scriptovat

[darebacik]

dakujem,

Zkuste to přes iptables-restore, jak popisuji tady - https://david.cesal.cz/nastaveni-site/ .

ked som iptables studoval, tak som si to na konci clanku vsimol https://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-linuxovy-firewall-zaklady-iptables-2 ten clanok je asi 8 rokov stary (ale je vyborne napisany) tak som si myslel ci nebude aj nejaky iny sposob zavedenia (ale toto je tiez v pohode).

Nebo si nainstaluj firewal ufw a res to v nem. Prijde mi prehlednejsi

Pro slozitejsi pravidla treba viz https://gist.github.com/kimus/9315140

UFW som pouzival do teraz. Je to v celku jednoduche aj pre zaciatocnikov, ale chcel som sa naucit viac iptables (mozno by uz bolo vhodnejsie nftables, ale nikdy nie je na skodu ist od zakladu (priznam sa, ze ipchains som neskusal)).

Na debianu stačí použít https://packages.debian.org/stretch/admin/netfilter-persistent a nemusíš nic scriptovat

skusim aj toto.

Ale nejak sa nikto nevyjadril k pravidlam.
Priznam sa, ze KVM pevadzkujem na proxmoxe, kde je pre kazdy VM (aj LXC) klikaci firewall. Mozno by to stacilo poriesit aj tam, ale ako som pisal vyssie chcem sa trocha priucit iptables

[Reklama]

[Vilith]

Na proxmoxu to delam tak, ze pomoci ufw zabezpecim proxmoxe a pak resim kazdou virtualku vlastnimi pravidly v ufw (bridge mod, kazda virtualka ma vlastni verejnou IP, KVM)

S LXC sou nejake problemy, nepouzivam, jen okrajove sleduji https://forum.proxmox.com/forums/proxmox-ve-networking-and-firewall.17/

Hodne lidi pouziva pfSense pro zabezpeceni svych virtualek

[jejda]

Ještě bych tam přidal ICMP. Takto si ten stroj ani nepingneš.

[snuff1987]

ufw to fakt nie preboha. to je pre lopaty.

este nezabudni pri tom porte 17000 (aj vsade) pouzit -m state --state NEW, pretoze takto ako to mas ti to prijme aj invalid.  ked uz robis stavovy firewall, tak nech to je allright.

a iptables nemusis ulozit do rc.local. Musis si najst (v centose to je ) /etc/sysconfig/iptables-config a tam mrkni co pisu.. enabluj sluzbu iptables a aj po restarte mas tam pravidla.. ano da sa to riesit aj cez rc.local ale to je skor workaround.

[kmarty]

...
Musis si najst (v centose to je ) /etc/sysconfig/iptables-config a tam mrkni co pisu..
...enabluj sluzbu iptables a aj po restarte mas tam pravidla...

A proc myslis ze tazatel psal Debian? Tam sluzbu/initscript "iptables" nenajdes.
Kdysi v nejaky prehistoricky verzi distra to bylo, ale pak to zmenili na pouziti "iptables-restore" v "(pre-)up" v /etc/network/interfaces u (prvniho) iface (pripadne jako scriptik v /etc/network/if-pre-up.d/). V soucasny dobre nevim, protoze ifupdown balik nepouzivam, nahazuju sit pres systemd-networkd a iptables jsem nahazoval svym sakra podobnym nahazovadlem jako je vyse uvedeny "netfilter-persistent".

Kazdopadne v Debianu odkazovat na /etc/sysconfig/... a pripadne servicu iptables... tss tss tss, to si nech pro RH based distra.

[darebacik]

ufw to fakt nie preboha. to je pre lopaty.

este nezabudni pri tom porte 17000 (aj vsade) pouzit -m state --state NEW, pretoze takto ako to mas ti to prijme aj invalid.  ked uz robis stavovy firewall, tak nech to je allright.

a iptables nemusis ulozit do rc.local. Musis si najst (v centose to je ) /etc/sysconfig/iptables-config a tam mrkni co pisu.. enabluj sluzbu iptables a aj po restarte mas tam pravidla.. ano da sa to riesit aj cez rc.local ale to je skor workaround.

jj na icmp protokol som zabudol, takze poupraveny skript

Kód: [Vybrat]

#!/bin/bash
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -m state --state NEW -j ACCEPT

[darebacik]

doplnujuca otazka,
vsimol som si, ze niekto dropuje aj output retazec.
Je dobre ho dropovat a obdobne pravidla pisat aj pre output, alebo output moze byt accept (nie som odbornik a verim linuxovemu jadru a inym odbornikom, ktori ho napisali a kontroluju (aj ked si vzdy stahujem hotove distro, ale veriiim)).

[karlik]

jj na icmp protokol som zabudol, takze poupraveny skript

Kód: [Vybrat]

#!/bin/bash
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -m state --state NEW -j ACCEPT[/quote]

Nemělo by to být spíše takto?

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[darebacik]

Ano vyzera to rozumne. Ja zatial s iptables velke skusenosti nemam, ale urcite to vyskusam
dik

[Lol Phirae]

Tady to jede furt dokola... Odchozí port 20 je vám tam zcela k hounu, a naopak bez příslušného conntrack modulu si ani neškrtnete.

[uf]

Nemělo by to být spíše takto?

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Koukám špatně, nebo z toho stroje pak nepůjde udělat nic (nepojede ntp, dns, ping, ... cokoliv původem v tom stroji)?