---

Hej gruppe,

Det virker som om jeg er palle alene med mit simple iptables ønske - jeg
synes ihvertfald ikke jeg bliver klogere på Google

Er det ikke muligt at sætte iptables op så den dropper alt udefra, men
tillader alt indefra?

De gange jeg har prøvet er forbindelsen gået fuldstændig i baglås så al
adgang blev spærret...

Nogen der har nogle scripts/fif til hvordan det gøres?

På forhånd tak ;)

---

"Martin [6000]" <martinlj@tiscali.dk> skrev i en meddelelse
news:4ab0dd48$0$279$14726298@news.sunsite.dk...
> Hej gruppe,
>
> Det virker som om jeg er palle alene med mit simple iptables ønske - jeg
> synes ihvertfald ikke jeg bliver klogere på Google
>
> Er det ikke muligt at sætte iptables op så den dropper alt udefra, men
> tillader alt indefra?
>
> De gange jeg har prøvet er forbindelsen gået fuldstændig i baglås så al
> adgang blev spærret...
>
> Nogen der har nogle scripts/fif til hvordan det gøres?
>
> På forhånd tak ;)

http://easyfwgen.morizot.net/gen/index.php kan lave et script til dig; det
er fint kommenteret.

Så undlader du at krydse af i "Allow Inbound Services", så får du genereret
et script, der kun tillader udgående trafik, og svar herpå. Det er nok det
sidste, du har manglet i dine hjemmelavede scripts.

Leif

---

Martin [6000] skrev:

> Er det ikke muligt at sætte iptables op så den dropper alt
> udefra, men tillader alt indefra?

Med en iptables-generator som ferm [¹] ville jeg nok skrive noget
i denne retning:

#v+

table filter {
chain INPUT {
policy DROP;
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
# tillad localhost
interface lo ACCEPT;
# svar evt. på ping
proto icmp icmp-type echo-request ACCEPT;
# resten tabes på gulvet
}
# ingen restriktioner på udgående trafik
chain OUTPUT policy ACCEPT;
# men tillad ikke forward
chain FORWARD policy DROP;
}

#v-

Mvh
Klaus

[¹] http://ferm.foo-projects.org/
--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

On Wed, 16 Sep 2009 13:15:38 +0000 (UTC), Klaus Alexander Seistrup
<klaus@seistrup.dk> wrote:

> # svar evt. på ping
> proto icmp icmp-type echo-request ACCEPT;

Jeg ville også tillade svar på ping (jeg ved ikke, om det er
automatisk i iptables), time-exceeded, traceroute og unreachable. Det
sidste er vigtigt aht. pMTUd.

-A
--
http://www.hojmark.org/

---

On 2009-09-16, Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>
>> # svar evt. på ping
>> proto icmp icmp-type echo-request ACCEPT;
>
> Jeg ville også tillade svar på ping (jeg ved ikke, om det er
> automatisk i iptables), time-exceeded, traceroute og unreachable. Det
> sidste er vigtigt aht. pMTUd.

Jeg vil tro at det bliver tilladt af RELATED-reglerne i de tilfælde,
hvor det er aktuelt.

--
Andreas

---

> Nogen der har nogle scripts/fif til hvordan det gøres?

Tak for jeres forslag - jeg har fået en del at rode videre med nu som jeg
ikke havde fundet før!

---

> Så undlader du at krydse af i "Allow Inbound Services", så får du
> genereret et script, der kun tillader udgående trafik, og svar herpå.
> Det er nok det sidste, du har manglet i dine hjemmelavede scripts.

Det har jeg nu prøvet og jeg kan se jeg måske har været for simpel i
forklaring omkring mit ønske.

Med "udefra" mener jeg internettet og "indefra" lokalnettet, dvs. den er
lukket og låst i alt hvad der kommer udefra men åben for alt inde fra
lokalnettet fx. ssh, samba osv.

Jeg prøvede scripet der blev genereret med samme resultat som sidst jeg
selv prøvede - hængelås på, vagt foran og ingen adgang - hard boot er
løsningen.

Jeg ved ikke om mit ønske er normalt, men det er som om jeg er den eneste
på hele nettet der har det

---

On 16 Sep 2009 13:48:35 GMT, "Martin [6000]" <martinlj@tiscali.dk>
wrote:

> > Så undlader du at krydse af i "Allow Inbound Services", så får du
> > genereret et script, der kun tillader udgående trafik, og svar herpå.
> > Det er nok det sidste, du har manglet i dine hjemmelavede scripts.

> Det har jeg nu prøvet og jeg kan se jeg måske har været for simpel i
> forklaring omkring mit ønske.

> Jeg prøvede scripet der blev genereret med samme resultat som sidst jeg
> selv prøvede - hængelås på, vagt foran og ingen adgang - hard boot er
> løsningen.

Huskede du at markere, at det skal køre på en gateway? Hvilket
interface bruger du det på?

-A
--
http://www.hojmark.org/

---

> Med "udefra" mener jeg internettet og "indefra" lokalnettet, dvs. den er
> lukket og låst i alt hvad der kommer udefra men åben for alt inde fra
> lokalnettet fx. ssh, samba osv.

Umiddelbart kunne en løsning vel være at tillade alt fra 10.0.0.x (som er
min interne ip-range) og droppe alt fra andre ip'er?

Eller er det ikke så simpelt?

---

> Huskede du at markere, at det skal køre på en gateway? Hvilket interface
> bruger du det på?

Nej jeg markerede "single system" da mine computere ikke render igennem
den til nettet - det er blot en server jeg bruger som simpel "NAS".

Jeg bruger eth0.

---

On 16 Sep 2009 13:57:59 GMT, "Martin [6000]" <martinlj@tiscali.dk>
wrote:

> Nej jeg markerede "single system" da mine computere ikke render igennem
> den til nettet - det er blot en server jeg bruger som simpel "NAS".

Hvordan havde du forestillet dig at bruge den som server, hvis du
dropper al trafik til den og kun tillader trafik ud fra den?

.... Og hvis den sidder på 10.0.0.x/24, så er den jo allerede bag et
NAT-device, der giver ca. samme funktionalitet, som du vil bruge
iptables til.

-A
--
http://www.hojmark.org/

---

Den 16 Sep 2009 13:57:59 GMT skrev Martin [6000]:
>
>> Huskede du at markere, at det skal køre på en gateway? Hvilket interface
>> bruger du det på?
>
> Nej jeg markerede "single system" da mine computere ikke render igennem
> den til nettet - det er blot en server jeg bruger som simpel "NAS".

Ok, glem min tidligere post. Den var ud fra en forventning om at vi
snakkede om en gateway.

Mvh
Kent
--
"The Brothers are History"

---

> Hvordan havde du forestillet dig at bruge den som server, hvis du
> dropper al trafik til den og kun tillader trafik ud fra den?

Det er her min begrænsede viden om emnet nok træder ind

Min tanke var, at alt der kommer udefra nettet skulle blockes, men alt
fra interne ip-adresser, fx. 10.0.0.19 var tilladt.

Men det kan måske ikke rigtig lade sig gøre så længe der kun er et
interface, eth0 ?

Hvad så med at blocke alt, så længe det ikke kommer fra 10.0.0.0/8? Eller
giver det falsk sikkerhed?

> ... Og hvis den sidder på 10.0.0.x/24, så er den jo allerede bag et
> NAT-device, der giver ca. samme funktionalitet, som du vil bruge
> iptables til.

Ja den er beskyttet bag NAT via min router, men jeg tænkte en ekstra lås
på lige netop denne vigtige enhed ville få mig til at sove mere roligt.

---

On 16 Sep 2009 14:05:50 GMT, "Martin [6000]" <martinlj@tiscali.dk>
wrote:

> Min tanke var, at alt der kommer udefra nettet skulle blockes, men alt
> fra interne ip-adresser, fx. 10.0.0.19 var tilladt.

> Hvad så med at blocke alt, så længe det ikke kommer fra 10.0.0.0/8? Eller
> giver det falsk sikkerhed?

Hvis serveren sidder bag en NAT-router kan den jo i forvejen kun nås
af maskiner på samme subnet, så det giver ikke ret meget ekstra
sikkerhed at lave en iptables-regel, der kun tillader trafik fra
maskiner i samme subnet.

Men man dog godt lave det; så skal du blot tillade trafik udefra men
kun for de services, du ønsker at stille til rådighed og de adresser,
du vil snakke med.

-A
--
http://www.hojmark.org/

---

> Hvis serveren sidder bag en NAT-router kan den jo i forvejen kun nås af
> maskiner på samme subnet, så det giver ikke ret meget ekstra sikkerhed
> at lave en iptables-regel, der kun tillader trafik fra maskiner i samme
> subnet.

Så min routers (typisk Netgear model) NAT er lige så sikker som iptables?

> Men man dog godt lave det; så skal du blot tillade trafik udefra men kun
> for de services, du ønsker at stille til rådighed og de adresser, du vil
> snakke med.

Jeg vil kigge lidt nærmere på det igen og tage det hele til
genovervejelse.

Takker for dine input!

---

Martin [6000] skrev:

> Umiddelbart kunne en løsning vel være at tillade alt fra
> 10.0.0.x (som er min interne ip-range) og droppe alt fra
> andre ip'er?

I det tidligere foreslåede ferm-script, kan du have

#v+
:
chain INPUT {
:
saddr 10.0.0.0/8 ACCEPT;
}
:
#v-

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

> I det tidligere foreslåede ferm-script, kan du have

Hey,

Tak for det.

Jeg har som sådan fået det til at virke nu, men øh.. hmm routeren er jo
også en 10.0.0.0/8 enhed så hvis den bliver brudt så godtager min server
vel gladeligt det der kommer derfra da det jo netop er en intern adresse.

Så det hele er vel, efter nærmere eftertanke, ret så omsondst? ;)

Måske derfor jeg ikke har kunne finde noget særligt på Google :)

---

Den 16 Sep 2009 12:42:48 GMT skrev Martin [6000]:
> Hej gruppe,
>
> Det virker som om jeg er palle alene med mit simple iptables ønske - jeg
> synes ihvertfald ikke jeg bliver klogere på Google
>
> Er det ikke muligt at sætte iptables op så den dropper alt udefra, men
> tillader alt indefra?
>
> De gange jeg har prøvet er forbindelsen gået fuldstændig i baglås så al
> adgang blev spærret...
>
> Nogen der har nogle scripts/fif til hvordan det gøres?

Jeg antager at eth0 er LAN:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP

Plus evt. NAT regler, hvis det er nødvendigt.

INPUT regler er trafik til maskinen selv (fra det ene eller det andet
netkort). FORWARD regler er trafik imellem de to netkort.

Ønsker du at lukke for al trafik mellem LAN og internet, springer du bare
over alle forward reglerne, undtaget den sidste (DROP).

Jeg forstår ikke at folk anbefaler diverse script-generatorer, der altid
kommer ud med et enormt script, som ingen kan finde rundt i. iptables er
faktisk ret nem at have med at gøre, så man får IMHO mere ud af selv
at skrive sit script. Og så gør den præcist hvad man ønsker, i stedet
for at have flere hundrede regler, som ingen aner hvad skal til for.

Mvh
Kent
--
"The Brothers are History"

---

> Ok, glem min tidligere post. Den var ud fra en forventning om at vi
> snakkede om en gateway.

Det er det ikke - blot en "alm" computer på netværket der fungerer som
central server/nas.