Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

configuratie IPTABLES en SSH

M Kelder
1 antwoord
  • Dag allemaal,

    Recentelijk heb ik op mijn linux RH 7.3 iptables geconfigureerd wat nu werkt.
    Omdat ik eigenlijk toch wel een beetje een leek ben en nog maar net kom kijken heb ik van het internet een script geplukt met daarin een heleboel voorgedefinieerde dingen.
    Ik heb hier het een en ander naar mijn eigen wens aangepast en wat dingen toegevoegt zoals JMSN en LICQ wat allemaal goed draait nu.
    Ik zit hier met mijn systeem achter een hardware router waarin geen NAT setup is geconfigureerd.
    De box draait op dit moment nog wel in de DMZ maar daar wil ik 'm dus spoedig uit halen om ook van buitenaf (lees school en bij mijn ouders) te kunnen aanspreken. Dit aanspreken wil ik via SSH doen. Deamon heb ik geinstalleerd en die draait nu dan ook. Ik kan vanaf mijn localhost dan ook sucsevol inloggen op mezelf.

    Echter vanaf een andere computer in het netwerk wil dit niet lukken.
    Nu ben ik een hele tijd bezig geweest regels te becommentariseren in het script en ik heb de regels die het zaakje tegenhouden er uit weten te vissen.
    Nu is mijn vraag: Hoe veilig is het dat zonder deze regels het grote boze internet op ga??? (en wat is evt. een goed alternatief voor deze regels?)
    Het standaard commentaar van het script is mij dus niet al te duidelijk. Misschien dat mij daar ook mee geholpen kan worden.

    Alvast heel hartelijk dank aan allen die mij hiermee kunnen en willen helpen

    MVG,

    Ronnie

    dit zijn de betreffende regels: (met #! geven dus last)

    # Set up a default DROP policy for the built-in chains.
    # If we modify and re-run the script mid-session then (because we have a default DROP
    # policy), what happens is that there is a small time period when packets are denied until
    # the new rules are back in place. There is no period, however small, when packets we
    # don't want are allowed.
    #!! iptables -P INPUT DROP
    iptables -P FORWARD DROP
    #!! iptables -P OUTPUT DROP

    ………..
    …………

    ## SSH
    # Allow ssh client outbound.
    SSH_HI_PORTS="513:1023"
    iptables -A OUTPUT -o $IFACE -p TCP –sport $SSH_HI_PORTS –dport 22 -j ACCEPT
    iptables -A INPUT -i $IFACE -p TCP -m state –state NEW,ESTABLISHED –sport 22 –dport $SSH_HI_PORTS -j ACCEPT
    # Allow clients from outside to see my ssh deamon
    iptables -A INPUT -i $IFACE -p TCP –sport $SSH_HI_PORTS –dport $SSH_PORT -s $MY_SSH_CLIENTS -d $EXTERNAL_IP -j ACCEPT
    iptables -A OUTPUT -o $IFACE -p TCP -m state –state NEW,ESTABLISHED –sport 22 –dport $SSH_HI_PORTS -j ACCEPT

    ………….
    ………….

    #einde van het script:

    ## LOGGING
    # You don't have to split up your logging like I do below, but I prefer to do it this way
    # because I can then grep for things in the logs more easily. One thing you probably want

    # to do is rate-limit the logging. I didn't do that here because it is probably best not too
    # when you first set things up …………….. you actually really want to see everything going to
    # the logs to work out what isn't working and why. You cam implement logging with
    # "-m limit –limit 6/h –limit-burst 5" (or similar) before the -j LOG in each case.
    #
    # Any udp not already allowed is logged and then dropped.
    iptables -A INPUT -i $IFACE -p udp -j LOG –log-prefix "IPTABLES UDP-IN: "
    iptables -A INPUT -i $IFACE -p udp -j DROP
    iptables -A OUTPUT -o $IFACE -p udp -j LOG –log-prefix "IPTABLES UDP-OUT: "
    iptables -A OUTPUT -o $IFACE -p udp -j DROP
    # Any icmp not already allowed is logged and then dropped.
    iptables -A INPUT -i $IFACE -p icmp -j LOG –log-prefix "IPTABLES ICMP-IN: "
    iptables -A INPUT -i $IFACE -p icmp -j DROP
    iptables -A OUTPUT -o $IFACE -p icmp -j LOG –log-prefix "IPTABLES ICMP-OUT: "
    iptables -A OUTPUT -o $IFACE -p icmp -j DROP
    # Any tcp not already allowed is logged and then dropped.
    iptables -A INPUT -i $IFACE -p tcp -j LOG –log-prefix "IPTABLES TCP-IN: "
    #!! iptables -A INPUT -i $IFACE -p tcp -j DROP
    iptables -A OUTPUT -o $IFACE -p tcp -j LOG –log-prefix "IPTABLES TCP-OUT: "
    #!! iptables -A OUTPUT -o $IFACE -p tcp -j DROP
    # Anything else not already allowed is logged and then dropped.
    # It will be dropped by the default policy anyway …….. but let's be paranoid.
    iptables -A INPUT -i $IFACE -j LOG –log-prefix "IPTABLES PROTOCOL-X-IN: "
    #!! iptables -A INPUT -i $IFACE -j DROP
    iptables -A OUTPUT -o $IFACE -j LOG –log-prefix "IPTABLES PROTOCOL-X-OUT: "
    #!! iptables -A OUTPUT -o $IFACE -j DROP

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.