Hallo, wer kann mir sagen warum ich nach dem Start von diesem Skript nicht mehr per ssh auf dem Server arbeiten kann (http, mysql ... geht auch nicht was fehlt da? :( #!/bin/sh IPC="/sbin/ipchains" UNPRIV="1024:65535" LOC_IP="???.???.???.??" # richtige Locale-IP der Red. bekannt :) EXT="eth0" $IPC -F $IPC -X echo "Loopbaok-Device" $IPC -A input -i lo -j ACCEPT $IPC -A output -i lo -j ACCEPT #echo "Spoofed Packets" #$IPC -A input -i $EXT -s $LOC_IP -j DENY -l #$IPC -A output -i $EXT -s ! $LOC_IP -j REJECT -l echo "ICMP incomming" $IPC -A input -i $EXT -p icmp --icmp-type 0 -j ACCEPT $IPC -A input -i $EXT -p icmp --icmp-type 3 -j ACCEPT $IPC -A input -i $EXT -p icmp --icmp-type 11 -j ACCEPT echo "icmp outgoing" $IPC -A output -i $EXT -p icmp --icmp-type 8 -j ACCEPT echo "DNS Requests (UDP)" $IPC -A input -i $EXT -p udp --sport domain --dport $UNPRIV -j ACCEPT $IPC -A output -i $EXT -p udp --sport $UNPRIV --dport domain -j ACCEPT echo "DNS Requests (TCP)" $IPC -A input -i $EXT -p tcp --sport domain --dport $UNPRIV -j ACCEPT $IPC -A output -i $EXT -p tcp --sport $UNPRIV --dport domain -j ACCEPT echo "MySQL" $IPC -A output --sport mysql -p tcp -j ACCEPT $IPC -A input --sport mysql -p udp -j ACCEPT echo "ssh" $IPC -A input --sport ssh -p tcp -j ACCEPT $IPC -A output --sport ssh -p tcp -j ACCEPT echo "http" $IPC -A input --sport http -p tcp --dport $UNPRIV -j ACCEPT $IPC -A input --sport http -p udp -j ACCEPT echo "https" $IPC -A input --sport https -p tcp -j ACCEPT $IPC -A input --sport https -p udp -j ACCEPT echo "logging on" $IPC -A input -i $EXT -l $IPC -A output -i $EXT -l # Default-Policy --------------------------------------- $IPC -P input REJECT $IPC -P forward REJECT $IPC -P output REJECT was mach ich falsch ????? mit freundlichen Grüßen aus dem "Alten Forsthaus" Michael Temeschinko _________________________________________________________________ amorebio GmbH i.Gr. * >> Frische, die ankommt ! << Altes Forsthaus * Michael Temeschinko 76698 Ubstadt/Weiher * techn. Geschäftsführer Tel.: +49 7251 3 67 99 67 Fax: 3 67 789 mt@buyway.de
On Fri, 28 Dec 2001, Michael Temeschinko wrote:
wer kann mir sagen warum ich nach dem Start von diesem Skript nicht mehr per ssh auf dem Server arbeiten kann (http, mysql ... geht auch nicht
Zu SSH: Was meinst Du mit "ssh auf dem Server"? Soll man von aussen her per ssh auf Deinen Server zugreifen koennen oder willst Du auf externe Rechner im Netz per ssh zugreifen? Ich nehme jetzt einfach einmal Letzteres an.
echo "ssh"
$IPC -A input --sport ssh -p tcp -j ACCEPT $IPC -A output --sport ssh -p tcp -j ACCEPT
Abgehende Pakete mit Quellport ssh sollen also akzeptiert werden. Da ist doch schon der Fehler. Die abgehenden Pakete haben doch als _ZIEL_ den ssh-Port anzusprechen. Also: $IPC -A output --dport ssh -p tcp -j ACCEPT
echo "http"
$IPC -A input --sport http -p tcp --dport $UNPRIV -j ACCEPT $IPC -A input --sport http -p udp -j ACCEPT
UDP auf http-Basis? Das waere mir voellig neu, womit ich nicht ausschliessen moechte, dass es vielleicht immer noch Dinge fuer mich gibt, die neu sein koennen. Wozu UDP?
echo "https"
$IPC -A input --sport https -p tcp -j ACCEPT $IPC -A input --sport https -p udp -j ACCEPT
Gleiche Ueberlegung zu http.
# Default-Policy ---------------------------------------
$IPC -P input REJECT $IPC -P forward REJECT $IPC -P output REJECT
Und die Default-Policy setze mal an den Anfang des Scripts. Das ist wahrscheinlich nicht noetig, entspricht aber eher der menschlichen Denkart: "Mach alles dicht, dann ueberlege, was man aufmacht." Viel Erfolg beim Weiterexperimentieren. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hi,
-----Original Message----- From: Peter Blancke [mailto:blancke@gmx.de] Sent: Friday, December 28, 2001 6:15 PM To: Suse-Linux Subject: Re: firewall - ipchains
On Fri, 28 Dec 2001, Michael Temeschinko wrote:
wer kann mir sagen warum ich nach dem Start von diesem Skript nicht mehr per ssh auf dem Server arbeiten kann (http, mysql ... geht auch nicht
Zu SSH: Was meinst Du mit "ssh auf dem Server"? Soll man von aussen her per ssh auf Deinen Server zugreifen koennen oder willst Du auf externe Rechner im Netz per ssh zugreifen?
Ich nehme jetzt einfach einmal Letzteres an.
echo "ssh"
$IPC -A input --sport ssh -p tcp -j ACCEPT $IPC -A output --sport ssh -p tcp -j ACCEPT
Abgehende Pakete mit Quellport ssh sollen also akzeptiert werden. Da ist doch schon der Fehler. Die abgehenden Pakete haben doch als _ZIEL_ den ssh-Port anzusprechen. Also:
$IPC -A output --dport ssh -p tcp -j ACCEPT
Danke hab ich geändert - aber da muß noch irgendwo ein Hund begraben liegen
echo "http"
$IPC -A input --sport http -p tcp --dport $UNPRIV -j ACCEPT $IPC -A input --sport http -p udp -j ACCEPT
UDP auf http-Basis? Das waere mir voellig neu, womit ich nicht ausschliessen moechte, dass es vielleicht immer noch Dinge fuer mich gibt, die neu sein koennen. Wozu UDP?
hm bei mir in /etc/service steht jedenfalls ein Eintrag dafür aber ob http udp benutzt weiß ich auch nicht genau - na ja wohl eher nicht
echo "https"
$IPC -A input --sport https -p tcp -j ACCEPT $IPC -A input --sport https -p udp -j ACCEPT
Gleiche Ueberlegung zu http.
# Default-Policy ---------------------------------------
$IPC -P input REJECT $IPC -P forward REJECT $IPC -P output REJECT
Und die Default-Policy setze mal an den Anfang des Scripts. Das ist wahrscheinlich nicht noetig, entspricht aber eher der menschlichen Denkart: "Mach alles dicht, dann ueberlege, was man aufmacht."
hatte ich auch so, nur dann kamen mir zweifel ich kann den Server nur remote administrieren komm also nicht an die konsole und da hatte der als ich das Script laufen lassen hab schon mitten im Script irgendwie abgebrochen wahrscheinlich weil ich irgendwie Grundlegende Netzwerksachen ausschalte :( wenigsten weiß ich jetzt wie man das richtig macht echo "firewall" | at now dann führt der at-demon das script aus und nicht ich über ssh ändert aber leider nix daran das ich dann sofort rausfliege (hab zum Glück ein Cron-Job angelegt der alle 5 Minuten die ipchains löscht)
Viel Erfolg beim Weiterexperimentieren.
Danke, Erfolg wär mal zur Abwechslung nicht schlecht mit freundlichen Grüßen aus dem "Alten Forsthaus" Michael Temeschinko _________________________________________________________________ amorebio GmbH i.Gr. * >> Frische, die ankommt ! << Altes Forsthaus * Michael Temeschinko 76698 Ubstadt/Weiher * techn. Geschäftsführer Tel.: +49 7251 3 67 99 67 Fax: 3 67 789 mt@buyway.de
On Fri, Dec 28, 2001 at 05:47:41PM +0100, Michael Temeschinko wrote:
Hallo,
wer kann mir sagen warum ich nach dem Start von diesem Skript nicht mehr per ssh auf dem Server arbeiten kann (http, mysql ...
$IPC -A input --sport ssh -p tcp -j ACCEPT $IPC -A output --sport ssh -p tcp -j ACCEPT
^^^^^^^^ Gehört hier nicht --dport? -- mfg Martin Neuditschko
participants (3)
-
Michael Temeschinko -
Peter Blancke -
Yosuke Tomoe