KVM VM /Firewall / ISPConfig

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von cokotech, 20. Juli 2011.

  1. cokotech

    cokotech Member

    Hallo zusammen!


    Ich habe ein kleines Problem. Ich will auf einem Server, wo ISPConfig3 läuft eine virtuelle Maschine einsetzen.
    Ich habe mich bereits seit Tagen damit beschäftigt (Hetzer - MAC zuweisen - verzweifeln -Support fragen - noch mehr verzweifeln) um es wenigstens so zum Laufen zu bekommen, dass ich jetzt ein konkret eingrenzbares Problem habe.... die Firewall.
    Mein Server hat die IP xxx.xxx.xxx.8 und der Guest xxx.xxx.xxx.46 .
    Netmaskl ist die 255.255.255.192, Gateway xxx.xxx.xxx.1 und Broadcast xxx.xxx.xxx.63. Man benötigt bei beiden einen pointopoint Eintrag mit xxx.xxx.xxx.1.
    Untereinander anpingen kann ich beide... rauss kommen bzw. das Gateway anpingen kann ich erst, wenn ich die Firewall in ISPConfig deaktiviere.
    Die zweite IP habe ich bei ISPConfig nicht eingetragen, weil sie ja nicht wirklich zu dem Server gehört sondern im Gastsystem landet. Sie war aber vorher drin, es macht aber Seitens der ausgabe von iptables -S keinen Unterschied.

    Meine Frage nun... inwiefern muss ich die Masterconfig (bastille) anpassen, damit der Spass funktioniert. Sowas die iptables -P FORWARD ACCEPT etc. habe ich schon probiert... kein Unterschied.
    Kann wer helfen?

    Firewall in ISPConfig abgeschaltet (es geht):
    Code:
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -N fail2ban-ssh
    -A fail2ban-ssh -j RETURN
    


    Firewall in ISPConfig eingeschaltet (es geht nicht):
    Code:
    -P INPUT DROP
    -P FORWARD DROP
    -P OUTPUT ACCEPT
    -N INT_IN
    -N INT_OUT
    -N PAROLE
    -N PUB_IN
    -N PUB_OUT
    -N fail2ban-ssh
    -A INPUT -d 127.0.0.0/8 ! -i lo -p tcp -j DROP
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -s 224.0.0.0/4 -j DROP
    -A INPUT -i eth+ -j PUB_IN
    -A INPUT -i ppp+ -j PUB_IN
    -A INPUT -i slip+ -j PUB_IN
    -A INPUT -i venet+ -j PUB_IN
    -A INPUT -i br+ -j PUB_IN
    -A INPUT -j DROP
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -j DROP
    -A OUTPUT -o eth+ -j PUB_OUT
    -A OUTPUT -o ppp+ -j PUB_OUT
    -A OUTPUT -o slip+ -j PUB_OUT
    -A OUTPUT -o venet+ -j PUB_OUT
    -A OUTPUT -o br+ -j PUB_OUT
    -A INT_IN -p icmp -j ACCEPT
    -A INT_IN -j DROP
    -A INT_OUT -p icmp -j ACCEPT
    -A INT_OUT -j ACCEPT
    -A PAROLE -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 3 -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 0 -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 11 -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A PUB_IN -p tcp -m tcp --dport 20 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 21 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 10000 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 4986 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 25 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 53 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 80 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 110 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 143 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 443 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 3306 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 4316 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 8080 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 14516 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 25261 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 14506 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 25251 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 9040:9060 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 7710:7720 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 8420:8619 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 10789 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 5900 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 5901 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 10011 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 30033 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 9004 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 5432 -j PAROLE
    -A PUB_IN -p udp -m udp --dport 53 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 1234 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 8767 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 1111 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 2009 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 5555 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 6666 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 7777 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 6710 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 7720 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 8430 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 2708 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 1408 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 3006 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 3896 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 3898 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 8450 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 8490 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 3900 -j ACCEPT
    -A PUB_IN -p icmp -j DROP
    -A PUB_IN -j DROP
    -A PUB_OUT -j ACCEPT
    -A fail2ban-ssh -j RETURN
    
    Ausgabe von ifconfig (Guest Interface ist br0, warum das vnet0 aufgebaut wird ist mir schleierhaft)
    Code:
     
    br0       Link encap:Ethernet  Hardware Adresse 40:61:86:2b:8b:b0
              inet Adresse:xxx.xxx.xxx.8  Bcast:xxx.xxx.xxx.63  Maske:255.255.255.192
              inet6-Adresse: xxxx::xxxx:xxxx:xxxx:xxxx/64 Gültigkeitsbereich:Verbindung
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
              RX packets:137395 errors:0 dropped:0 overruns:0 frame:0
              TX packets:178790 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:0
              RX bytes:43390890 (43.3 MB)  TX bytes:132541504 (132.5 MB)
    eth0      Link encap:Ethernet  Hardware Adresse 40:61:86:2b:8b:b0
              inet6-Adresse: xxx::xxxx:xxxx:xxxx:xxxx/64 Gültigkeitsbereich:Verbindung
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
              RX packets:138301 errors:0 dropped:0 overruns:0 frame:0
              TX packets:181341 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:1000
              RX bytes:45862029 (45.8 MB)  TX bytes:132691906 (132.6 MB)
              Interrupt:29 Basisadresse:0x2000
    lo        Link encap:Lokale Schleife
              inet Adresse:127.0.0.1  Maske:255.0.0.0
              inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
              UP LOOPBACK RUNNING  MTU:16436  Metrik:1
              RX packets:679679 errors:0 dropped:0 overruns:0 frame:0
              TX packets:679679 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:0
              RX bytes:965155672 (965.1 MB)  TX bytes:965155672 (965.1 MB)
    vnet0     Link encap:Ethernet  Hardware Adresse fe:50:56:00:08:65
              inet6-Adresse: xxxx::xxxx:xxxx:xxxx:xxxx/64 Gültigkeitsbereich:Verbindung
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
              RX packets:2343 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2114 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:500
              RX bytes:223691 (223.6 KB)  TX bytes:237186 (237.1 KB)
    


    Vielen Dank im vorraus.... Gruß Sven!
     
    Zuletzt bearbeitet: 20. Juli 2011

Diese Seite empfehlen