Firewall ausgehend einschränken
Bisher habe ich die Firewall regeln auf meinen Servern so eingerichtet das nur Dienste geschützt worden sind die auch laufen. Jetzt wollte ich das dahingehend umstellen das nur noch erlaubte Dienste etwas dürfen und das auch für den ausgehenden Verkehr.
ACHTUNG: Dies sind meine Notizen und kein Lehrbuch. Use at your own risk.
Basis war vor allem dieses Dokument.
So, erst einmal sehen was schon da ist
sudo iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- mail.hagen-bauer.de anywhere tcp dpt:smtp
2 ACCEPT tcp -- mail.1bis3.de anywhere tcp dpt:smtp
3 ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:smtp
4 DROP tcp -- anywhere anywhere tcp dpt:smtp
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Jetzt wollte ich
- Antworten auf eigene Anfagen
- ssh Verbindung
- internen Verkehr auf localhost
erlauben.
Die alte Regel 4 wird durch einen generellen Drop ersetzt
sudo iptables -D INPUT 4
sudo iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -I INPUT 1 -p tcp --dport 3005 -j ACCEPT
sudo iptables -I INPUT 1 -i lo -j ACCEPT
sudo iptables -A INPUT -j DROP
Ausgehend darf nur noch
- Mail zu meinem Mailserver
- interner Verkehr auf localhost
- DNS Abfragen
- Antworten auf eingegangene Anfragen
passieren
sudo iptables -I OUTPUT -d mail.hagen-bauer.de -p tcp --dport 25 -j ACCEPT
sudo iptables -I OUTPUT -d mail.1bis3.de -p tcp --dport 25 -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -I OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --sport 1024:65535 --dport 67 -j ACCEPT
sudo iptables -A OUTPUT -j DROP
Weitergeleitet wird garnichts
iptables -P FORWARD DROP
Bisher kann ich keine Probleme feststellen