Hilfe bei iptables-Konfiguration

D

der-matze

Enthusiast
Thread Starter
Mitglied seit
14.06.2004
Beiträge
1.395
An meinem DSL-Anschluss hängt eine Fritzbox als Router sowie für Telefonie. Die Fritzbox hängt am WAN-Port eines Linksys WRT1200AC, der LAN, WLAN und andere Dienste zur Verfügung stellt.
Auf dem Linksys läuft bereits OpenWRT, dessen Firewall ich nun gerne durch "individuelle" iptables anpassen möchte.

Beim WRT1200AC ist der WAN-Port eth0 und LAN und WLAN laufen auf br-lan.

Generell möchte ich folgende Dienste nach außen nutzen:
- DNS (53),
- FTP (20, 21),
- HTTP (80),
- HTTPS (443),
- ICQ (5190),
- IMAPS (993),
- Jabber (5222),
- MAILS (587),
- NTP (123),
- POP3S (995),
- SMTPS (465)

In meinem Netzwerk habe ich keinen Server/Dienst oder sonstiges laufen, auf den ich vom Internet aus zugreifen muss.

In Sachen iptables habe ich sogesehen keinerlei Vorkenntnisse, weshalb ich etwas Unterstützung benötige. :)

Mal zu den Sachen, die ich mir angelesen habe und zu den Punkten, aus denen sich Fragen ergeben. Wenn ich etwas falsch verstanden habe, würde ich mich über Verbesserung freuen.

Zuerst muss ich alle bestehenden Regeln löschen, anschließend setze ich die Input-, Output- und Forward-Chains auf Drop.
Weiterhin ist es wohl notwendig alle loopback-Verbindungen zu erlauben.
Ebenso muss ich die Forwards von intern an den WAN-Port zulassen (anders herum auch?).
Established- und related-Verbindungen sollen lt. meiner Recherchen ebenso erlaubt werden.
Code: 
# Delete Existing Rules
iptables -F

# Set default chain policies to DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Allow loopback access
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow internal to external
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT

# Allow incoming established and related connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Nun beginne ich alle erforderlichen Sachen/Dienste zu erlauben. Dafür habe ich diesen Generator genutzt. Als "Ausgehende Dienste" würde ich nun meine o. g. Dienste angeben. Lasse ich "Eingehende Dienste" einfach leer, da in meinem Netzwerk nichts läuft, dass von außen erreichbar sein soll?

Für HTTP-Verbindungen würde es lt. Generator so aussehen:
Code: 
# Allow incoming HTTP
iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i eth0 -p TCP --sport 80 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
Muss ich den Source-Port beim Output mit angeben (habe ich auch oft ohne gesehen)?

Ist es richtig, dass ich die zweite Zeile komplett rauslassen kann, sofern ich (wie oben beschrieben) alle eingehenden established- und related-Verbindungen zulasse?

Sind die bei dem Generator aufgeführten Punkte zum erweiterten Schutz in meinem Fall sinnvoll? Schließlich hängen die iptables ja nicht direkt am DSL-Anschluss, sondern vorgeschaltet ist noch die Fritzbox, die selbst vermutlich ja eh auf alles normal antwortet.

So viel für den ersten Schwung! Vielen Dank im Voraus! :d
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was ist der Sinn des ganzen? Geräte im LAN können von außen wegen NAT sowieso nie erreicht werden, so lange Du die spezifischen Ports nicht weiterleitest, und was das Gemurkse mit dem Zulassen von innen nach außen soll, erschließt sich mir nicht. Schafft nur Streß. Für den Fall, daß sich Dein Windoof einen Trojaner o.ä. einfängt, wird der sowieso erstmal über bekannte Ports nach Hause telefonieren.
 
Ich zitiere mich dazu mal selbst aus diesem Thread:
der-matze schrieb:
Meine Gedanken dabei waren:
- bei Viren-/Trojanerbefall irgendwelcher Clients deren Datenverkehr zu unterbinden
- unerwünschtes nach-Hause-telefonieren oder andere unerwünschte Verbindungsaktionen der Clients/Software zu unterbinden
- wenn nicht über die Router selbst möglich, die Konfiguration der Router via WLAN verhindern

Ob ich das irgendwann noch um irgendwelche zeitlichen Beschränkungen für Clients o. ä. erweitern würde, kann ich noch nicht sagen.

Bzgl. der ersten beiden Punkte habe ich aber inzwischen schon gelesen, dass die Einschränkungen durch iptables wohl auch umgangen werden (können) (Nutzung anderer Dienste oder Standard-Ports) - das kann ich aber nicht beurteilen.

Weiterhin hatte ich mir nebenbei erhofft, durch die Beschränkungen durch iptables ein bestehendes "Problem" beheben zu können. Bei Google-Suchen erhalte ich -gerade beim Smartphone (natürlich im WLAN)- häufig diese tolle Robot-Meldung, bei der man erstmal fleißig Captchas tippen darf, bevor die gewünschte Suche erfolgt. Hatte ich auch schon bei allen Geräten durch, nach meinem Providerwechsel war erstmal eine Zeit Ruhe, jetzt geht's scheinbar vereinzelt wieder los.
Zum Vergrößern anklicken....
Der Punkt zur Erreichbarkeit von außen wegen NAT ist mir also bekannt, das nach-Hause-telefonieren von Malware o. ä. auf Standard-Ports inzwischen ebenso.
 
Also machst Du es nur, um Zeit totzuschlagen und Deine eigenen Kenntnisse zu erweitern.
 
Einverstanden, so formulieren wir es.

Kann mir denn jetzt, nach dem wir das endlich geklärt haben, bitte jemand bei meiner konkreten Fragestellung helfen?
 
dirk11 schrieb:
Für den Fall, daß sich Dein Windoof einen Trojaner o.ä. einfängt, wird der sowieso erstmal über bekannte Ports nach Hause telefonieren.
Zum Vergrößern anklicken....
Kann man die Problematik eigentlich generell mit Deep Packet Inspection angehen? Damit scheint man ja generell auch nach tatsächlichem Protokoll filtern zu können.

Als Nachfolger von OpenDPI liest man im Zusammenhang mit OpenWRT ein bisschen was zu nDPI. Ob/wie man sowas unter OpenWRT ans Laufen bekommt, findet man aber nicht so wirklich.

Bei DD-WRT scheint es hingegen schon enthalten zu sein (jedenfalls lese ich das so aus diversen Changelogs heraus), wie auch immer die Funktionalität dort aussieht.

Kann ein Router (der WRT1200AC hat ja immerhin nen DualCore mit 1,3 GHz :fresse2:) überhaupt diese "Datenflut" und Auswertung bewerkstelligen, ohne das die Geschwindigkeit zu stark einbricht?
 
Sorry, keine Ahnung. Ein Thema, was mich noch nie interessiert hat. Ich habe weder Trojaner noch Viren. Aber ich nutze auch ein Betriebssystem, kein Windows. SCNR
 
Du musst ja nicht alles auf dich beziehen. Außerdem kann es wohl kaum schaden, Versuche zu unternehmen um die Sicherheit zu erhöhen.

Wenn ich PC-Spiele als Zeitverschwendung ansehen würde oder entsprechende Linux-Portierungen existent wären, wäre ich auch nicht auf Windows. Viele wäre/würde... Dem ist aber nicht so.

Also falls du noch was hilfreiches zum eigentlichen Thema hast, immer her damit...
 
Gegenfrage:
Warum schreibst du hier überhaupt, wenn du
a) nicht auf meine Fragen antworten kannst, weil du dich in der Thematik gar nicht auskennst oder du
b) kein Interesse hast mir bei der Problematik zu helfen?

Bisher war keine deiner Antworten in irgend einer Weise für mich hilfreich.

Konversation kannst du gerne woanders betreiben oder mir bei speziellen Fragen, die -wie bisher- an der Fragestellung vorbei gehen, eine PN schreiben.
 
Gegenfrage:
Wieso glaubst Du, damit irgendeine ominöse "Sicherheit zu erhöhen"?
 
der-matze schrieb:
Gegenfrage:
Warum schreibst du hier überhaupt, wenn du
a) nicht auf meine Fragen antworten kannst, weil du dich in der Thematik gar nicht auskennst oder du
b) kein Interesse hast mir bei der Problematik zu helfen?

Bisher war keine deiner Antworten in irgend einer Weise für mich hilfreich.

Konversation kannst du gerne woanders betreiben oder mir bei speziellen Fragen, die -wie bisher- an der Fragestellung vorbei gehen, eine PN schreiben.
Zum Vergrößern anklicken....

dirk11 - auch deine letzte Antwort hat leider absolut nichts mit der Beantwortung der Fragen bzw. einer Hilfe bei der Problematik zu tun - bitte antworte einfach nicht mehr in diesem Thema - DANKE!
 
Lass dich nicht trollen!

Es ist tatsächlich so, dass du dein Ziel eher weniger erreichst, denn zum nach Hause telefonieren ist Port 80 offen.

Wenn du keinen sport angibst, wird auch nicht eingeschränkt.

Ansonsten gilt, dass du bei deinen Fragen ganz einfach per Trial&Error vorgehen kannst. Du merkst ja direkt, ob es funktioniert oder nicht.
 
Hast du denn eine Ahnung, ob man diese "ungewollte" Nutzung des http-Ports mit Deep Packet Inspection unterbinden kann?

Mit DPI scheint man ja sogar spezielle "Seiten" bzw. Dienste wie Youtube, Facebook & co anhand der Paketinhalte blocken zu können (so hab ich's zumindest gelesen). Auch wenn die Erkennungsrate nicht unbedingt 100 % entspricht.

Könnte man also -platt gesagt- eine Regel erstellen, die mittels DPI prüft, ob nur http-Pakete durch Port 80 gehen, oder halt HTTPS-Pakete auf Port 443 usw.?
 
Wie soll die Firewall denn entscheiden, ob eine Anfrage gewollt oder ungewollt ist?
Die weiß doch nicht, ob du gerade mit einem Browser etwas aufrufst oder irgendein Programm etwas aufruft.
 
Richtig. Mein Gedanke war auch eher, dass per DPI geprüft wird, ob ein Paket, welches auf Port 80 raus möchte, tatsächlich HTTP-Inhalt enthält oder eben nicht, und es so in letzterem Fall verworfen wird.

Ich weiß aber einerseits nicht, wonach bei bspw. nDPI Pakete bestimmten Seiten/Diensten zugeordnet werden und andererseits auch nicht, ob dies ausschließlich bei HTTP-Traffic funktioniert. Dafür kenne ich mich mit dem ganzen Paketkrams zu wenig aus bzw. findet man zu DPI auch nicht sehr viel. :rolleyes:

Ich werde, sobald meine Zeit es zulässt, mal mit Iptables herumprobieren, um wenigstens "normale" ungewollte Zugriffe nach draußen zu unterbinden.

Ich hatte bei der Standard-Firmware beim Linksys bspw. festgestellt (dort hat die Diagnose es auf einfachem Weg zugelassen), dass von meinem PC aus irgendwelche Verbindungen auf Ports Ende der 40.000er gelaufen sind, deren Ziel-IP lt. WHOIS zu Amazon gehören sollen. Ich habe aber keine Amazon-Software auf meinem Rechner... Oder aber das Log vom Router hat Murks ausgegeben.
 
der-matze schrieb:
Richtig. Mein Gedanke war auch eher, dass per DPI geprüft wird, ob ein Paket, welches auf Port 80 raus möchte, tatsächlich HTTP-Inhalt enthält oder eben nicht, und es so in letzterem Fall verworfen wird.
Zum Vergrößern anklicken....

Also auch Downloads.

Ich hatte bei der Standard-Firmware beim Linksys bspw. festgestellt (dort hat die Diagnose es auf einfachem Weg zugelassen), dass von meinem PC aus irgendwelche Verbindungen auf Ports Ende der 40.000er gelaufen sind, deren Ziel-IP lt. WHOIS zu Amazon gehören sollen. Ich habe aber keine Amazon-Software auf meinem Rechner... Oder aber das Log vom Router hat Murks ausgegeben.
Zum Vergrößern anklicken....

Viele Programme nutzen die Cloud Services von Amazon. Gut möglich, dass es da etwas war. Das kannst du mit netstat dann ja an deinem pc prüfen.
 
NTB schrieb:
Also auch Downloads.
Zum Vergrößern anklicken....
Es wäre ja ein Anfang, nur ausgehende Verbindungen darüber prüfen zu lassen (wenn es denn, wie gesagt, so überhaupt möglich ist).
Als eingehende Verbindungen sollten dann ja keine neuen, sondern nur established und related zugelassen werden (außer man hat in diesem Fall auf Port 80 einen Dienst lauschen, auf den man von außen drauf möchte).

NTB schrieb:
Viele Programme nutzen die Cloud Services von Amazon. Gut möglich, dass es da etwas war. Das kannst du mit netstat dann ja an deinem pc prüfen.
Zum Vergrößern anklicken....
Danke für die Tipps! Werde ich heute Abend mal schauen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh