Optimale Firewall Script für ISPConfig?

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von seiya, 17. Nov. 2009.

  1. seiya

    seiya New Member

    Gibt es ein Optimales Firewall Script für ISPConfig was alle zugriffe verbietet abgesehen von Web,FTP,Mail,SSH ?

    Ich denke man kann auch SSH limitieren auf ein paar IPs von denen per SSH zugegriffen werden kann oder?


    Grund für diese frage ist da ich im dmesg hab ich auch immer wieder:

    [3138004.768971] TCP: Treason uncloaked! Peer 0000:0000:0000:0000:0000:ffff:4fde:b657:1928/80 shrinks window 1042152603:1042158411. Repaired.


    Ich schätze dies kommt durch einen Angriff oder durch einen Virus der versucht den server zu nutzen oder liege ich hier falsch?

    vielen Dank,
    Rene
     
  2. F4RR3LL

    F4RR3LL Member

    Also *Angriff* würde ich das mal nicht nennen. Weiterhin würde dir auch eine iptables config nicht viel nützen da dein 80er Port ja nach wie vor offen ist.

    Ansonsten ist es recht einfach ein iptables script zu erstellen das nur web mail ftp und ssh durchlässt. Hier mal ein Grundscript, FTP passive Ports sind noch hinzuzufügen icmp und pops usw kannste auch hinzufügen.
    Ich selber halte allerdings nicht viel davon. Absichern vorhandener Dienste finde ich wichtiger.

    Code:
    [FONT=monospace]
    [/FONT]cat > /etc/network/if-up.d/iptables.active.sh << "EOF"[FONT=monospace]
    [/FONT]#!/bin/sh
    IPTABLES="/sbin/iptables"
    
    $IPTABLES -F INPUT
    $IPTABLES -F FORWARD
    $IPTABLES -F OUTPUT
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -A INPUT -i lo -j ACCEPT
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -p icmp -m icmp --icmp-type 5 -j DROP
    $IPTABLES -A INPUT -p icmp -j ACCEPT
    $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    $IPTABLES -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent   --set
    $IPTABLES -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent   --update --seconds 120 --hitcount 3 -j DROP
    $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
    EOF
    
    Code:
    chmod 700 /etc/network/if-up.d/iptables.active.sh
    sh /etc/network/if-up.d/iptables.active.sh 
    
     
    Zuletzt bearbeitet: 18. Nov. 2009
  3. Till

    Till Administrator

    Oder Du nutzt einfach die in ISPConfig eingebaute firewall, die basiert auf dem Bastille firewall script.
     

Diese Seite empfehlen