Fragen zu ISPConfig3 Firewall -> IPtables

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Dirk67, 19. Feb. 2013.

  1. Dirk67

    Dirk67 Member

    2 kurze Fragen zur ISPConfig3 Firewall "Basic",
    die Einträge/Ports dort finden sich ja in den IPtables Regeln wieder

    1)
    die IPtables werden sicher nur bei jedem Serverstart "neu initiiert"
    wo befindet sich das dazu (von ISPConfig3) angelegte script ?
    (bzw. über welchen Weg geschieht das ?)

    2)
    wie könnte ich diese Settings mit eigenen Regeln ergänzen ?
    oder geht nur: entweder über ISPConfig3 oder manuell...
    (schreibt evtl. ISPConfi3 das immer wieder über ?)


    .
     
  2. Till

    Till Administrator

  3. Dirk67

    Dirk67 Member

    vielen Dank für die Antwort.

    demnach nehme ich an, dass die Konfigurationsdatei in /etc/Bastille/ von ISPConfig3 geschrieben (überschrieben ?) wird ?

    wenn ich jetzt in ISPConfig die Firewall deaktiviere
    (die einzig mögliche FW-Regel pro Server),
    ist dann Bastille auch deaktiviert (beim Neustart)
    oder startet es immer noch mit Default-Regeln oder so ?


    fail2ban wäre ja von einem deaktivierten Bastille nicht betroffen, steuert selber seine IPtables Einträge bei, oder ?
     
    Zuletzt bearbeitet: 20. Feb. 2013
  4. Till

    Till Administrator

    Ja. Für manuelle Regeln gibt es daher den custom Folder.

    Ja.

    Ja.

    Die Firewall braucht normalerweise auch nicht an sein, deshalb ist sie off per defualt. Denn auf Deinem Hosting Server sollten an sich nur Dienste an eth0 lauschen die auch öffentlich zugänglich sein sollen, daher bleibt nichts zum blocken für die Firewall übrig.
     
  5. Dirk67

    Dirk67 Member

    alles klar, vielen Dank noch mal !

    doch,
    ssh und ftp z.B. lauschen natürlich auch an eth0, sollen aber nicht öffentlich (=china und konsorten) sein,
    sondern z.B. nur von meiner IP (und/oder von bestimmten Telekom- und Vodafone IP-Bereichen) zugänglich sein.
    ;-)

    (8080 und 8081 brauchen auch nicht (voll) öffentlich sein usw... usw...)

    Des weiteren kann man viele Grundmaßnahmen gegen DoS unternehmen mit entsprechend trickreicher IPTables-Konfiguration.
    (DoS von normalen http(s) ist ja neuerdings offensichtlich zum Massensport geworden -> der Anfänger-Hacker verwendet dazu z.B. gerne "slowloris")
     
    Zuletzt bearbeitet: 20. Feb. 2013
  6. Till

    Till Administrator

    Richtig, das sind aber alles custom Regeln. Die kannst Su auch ohne die ispconfig Firewall setzen. Fail2ban ist ja auch kein teil der Firewall und utzt trotzdem iptables.
     

Diese Seite empfehlen