Anfängerfrage zu iptables

[Blumenmensch]

Hi..
Ich versuche gerade iptables zu verstehen. Ich wollte für den Anfang ein simples Beispiel ausprobieren um nur ssh zuzulassen. Ich habe das so probiert:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT

Ich würde jetzt denken, dass generell erstmal alles verboten wird und dann der Port 22 für ssh geöffnet wird. Aber irgendwie stimmt da wohl was nicht, weil ich keine Verbindung bekomme. Kann mir jemand einen Tipp geben?

 

[Dennis Wronka]

Die Regel in der Output-Kette muss auf Quellport 22 pruefen, nicht auf Zielport 22.
Denn wenn die Pakete wieder rausgehen kommen sie ja vom SSH-Server.

Am wichtigsten ist aber eh zu pruefen was reinkommt, dementsprechend ist es eigentlich nicht unbedingt notwendig den ausgehenden Traffic zu beschraenken.

Zusaetzlich sei noch gesagt dass es verschiedene Moeglichkeiten gibt ein Paket abzuweisen.
DROP laesst das Paket einfach fallen und tut so als waere es nie angekommen.
Der Vorteil dabei ist, dass ein Portscan dadurch ordentlich ausgebremst wird da der Portscanner bis zum TimeOut auf Antwort wartet.
Der Nachteil ist, dass der Portscanner dadurch weiss, dass der Port gefiltert wird.

REJECT laesst das Paket fallen und sendet eine Antwort, Default ist hier icmp-port-unreachable. Diese Antwort kann man natuerlich auch beeinflussen.
Der Vorteil hierbei ist, dass der Portscanner nicht gleich weiss, dass Ports gefiltert werden.
Der Nachteil (wenn man es denn wirklich als Nachteil bezeichnen kann) ist, dass ein Portscan dadurch nicht ausgebremst wird.

Wenn keinerlei Zugriff von Aussen gestattet sein soll kann man sich mittels DROP uebrigens totstellen. Ein Port-Scan, oder jeglicher anderer Versuch eine Verbindung aufzubauen wird das gleiche Ergebnis haben wie der gleiche Versuch zu einer IP wo ueberhaupt kein Rechner ist.

Und zu weiteren Informationen zum Thema IPTables verweise ich jetzt einfach mal auf mein IPTables Tutorial.

 

[Navy]

Du suggerierst, daß ein Portscan etwas wirklich schlimmes ist, dem ist aber nicht wirklich so.

http://koeln.ccc.de/prozesse/running/portscan-policy.xml
http://blog.roothell.org/archives/185-Portscanner-sind-nicht-boese.html

 

[Dennis Wronka]

Du suggerierst, daß ein Portscan etwas wirklich schlimmes ist, dem ist aber nicht wirklich so.

Hmm, das war nicht meine Absicht.
Jedoch ist so ein Portscan nicht selten die Vorstufe zu etwas boesem. Denn immerhin muss ein Angreifer erstmal wissen wo es evtl. Angriffspunkte gibt.

An sich ist so ein Portscanner schon eine feine Sache. Wenn man versucht seinen Rechner vernuenftig abzudichten wohl auch ziemlich unerlaesslich. Es kommt nunmal immer darauf an wer solche (und vor allem auch aggressivere Tools wie z.B. Metasploit oder Nessus) bedient.

Und warum dem Angreifer unnoetig Informationen (in diesem Fall die Info, dass man einen Paketfilter einsetzt) zuspielen?