kenshy Geschrieben 20. Januar 2006 Geschrieben 20. Januar 2006 Moin, ich steh gerade vor einem Problem, drum hier erstmal das System: SuSe Linux IpTables Interbase Server 2 Netze xxx.xxx.6.xxx und xxx.xxx.9.xxx Die Interbase Datenbank soll per PHP in einem CMS angesprochen werden, so lang die IPTables aus sind, geht das auch ohne Probleme. Sobald ich jedoch die Regeln einschalte bekomme ich über das CMS nurnoch einen Timeout, jedoch komme ich mit IBExpert weiterhin auf die Datenbank. iptables -A INPUT -p tcp -m tcp -i ! eth1 --dport gds_db --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m udp -i ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m udp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Bin für jeden Tipp offen Ach ja, fals ich im falschem Forum sein sollte verschiebt mich :marine
shannra666 Geschrieben 20. Januar 2006 Geschrieben 20. Januar 2006 Sorry habe leider keine Lösung, aber eine Frage. Mit welchem CMS versuchst du hier eine Verbindung aufzubauen? Würde das nämlich auch gern bei uns realisieren. Wie geht man da vor?
bmg4ever2 Geschrieben 20. Januar 2006 Geschrieben 20. Januar 2006 Also um das vollständig bewerten zu können, fehlen folgende informationen: Webserver, auf dem das CMS läuft hat welche IP bzw. befindet sich in welchem Netzsegment. Interbase-Server ist in welchem Netzsegment / bzw. hat welche IP? Die iptablesregeln sind wahrscheinlich auf dem Interbaseserver selber. Also was hängt an eth1? Spontan fällt mir aber folgendes auf: iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m udp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Muss es hier nicht "--sport gds_db" heißen?
kenshy Geschrieben 20. Januar 2006 Autor Geschrieben 20. Januar 2006 Also der IB ist local, die beiden Eth1 und Eth0 sind einmal fürs interne und fürs Externe VPN Netz. Das mit dem sport wird gleich mal gestestet ^^
kenshy Geschrieben 20. Januar 2006 Autor Geschrieben 20. Januar 2006 So, mal getestet, brachte nichts
kenshy Geschrieben 20. Januar 2006 Autor Geschrieben 20. Januar 2006 Also, sowohl der IB Server, als auch der WebServer sind auf dem selben System :mod:
bmg4ever2 Geschrieben 20. Januar 2006 Geschrieben 20. Januar 2006 warum dann überhaupt dieses komplexe konstrukt? was an: iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT wäre denn sicherheitskritisch? Die Verbindungseinstellungen beim CMs laufen ja dann wahrscheinlich auch auf localhost.
bmg4ever2 Geschrieben 20. Januar 2006 Geschrieben 20. Januar 2006 ansonsten muss es natürlich ganz komplex lauten: #Eingehenden Verbindungsaufbau zum DB_Server erlauben iptables -A INPUT -p tcp -m tcp -i ! eth1 --dport gds_db --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m udp -i ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Eingehenden Antworten des Datenbankservers erlauben iptables -A INPUT -p tcp -m udp -i ! eth1 --sport gds_db --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m udp -i ! eth1 --sport gds_db -m state --state ESTABLISHED,RELATED -j ACCEPT #Ausgehenden Verbindungsaufbau vom CMS zur DB erlauben iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m udp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Antworten der Datenbank erlauben iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --sport gds_db -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m udp -o ! eth1 --sport gds_db -m state --state ESTABLISHED,RELATED -j ACCEPT
kenshy Geschrieben 20. Januar 2006 Autor Geschrieben 20. Januar 2006 Ok, lach, Fehler gefunden :floet: das Böse SNAT wars -.- , da war der fehler, SNAT raus, alles geht Danke für die Hilfe :uli :uli :uli
kenshy Geschrieben 20. Januar 2006 Autor Geschrieben 20. Januar 2006 ansonsten muss es natürlich ganz komplex lauten: #Eingehenden Verbindungsaufbau zum DB_Server erlauben iptables -A INPUT -p tcp -m tcp -i ! eth1 --dport gds_db --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m udp -i ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Eingehenden Antworten des Datenbankservers erlauben iptables -A INPUT -p tcp -m udp -i ! eth1 --sport gds_db --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m udp -i ! eth1 --sport gds_db -m state --state ESTABLISHED,RELATED -j ACCEPT #Ausgehenden Verbindungsaufbau vom CMS zur DB erlauben iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m udp -o ! eth1 --dport gds_db -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Antworten der Datenbank erlauben iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --sport gds_db -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m udp -o ! eth1 --sport gds_db -m state --state ESTABLISHED,RELATED -j ACCEPT Der Form halber, so würde es jetzt ganz aussehen #--------------------------------------------------------------------------- # Pakete, die geroutet werden #--------------------------------------------------------------------------- iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # TCP - RDP iptables -A FORWARD -s xxx.xxx.0.xxx/16 -d xxx.xxx.0.xxx/16 -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT # TCP www,https iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport ssh -m state --state NEW -j ACCEPT iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport www -m state --state NEW -j ACCEPT iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport https -m state --state NEW -j ACCEPT iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.0.xxx/16 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport 3000 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -m tcp -s xxx.xxx.0.xxx/16 -d xxx.xxx.9.xxx/24 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT # TCP - pcAnywhere iptables -A FORWARD -s xxx.xxx.0.xxx/16 -d xxx.xxx.0.xxx/16 -p tcp -m tcp --dport 5631:5632 -m state --state NEW -j ACCEPT iptables -A FORWARD -s xxx.xxx.0.xxx/16 -d xxx.xxx.0.xxx/16 -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT # UDP www,https iptables -A FORWARD -p udp -m udp -s xxx.xxx.9.xxx/24 --dport www -m state --state NEW -j ACCEPT iptables -A FORWARD -p udp -m udp -s xxx.xxx.9.xxx/24 --dport https -m state --state NEW -j ACCEPT # ICMP iptables -A FORWARD -s xxx.xxx.0.0/16 -d xxx.xxx.0.0/16 -p icmp -j ACCEPT #--------------------------------------------------------------------------- # Pakete, die hereinkommen #--------------------------------------------------------------------------- iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # TCP iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport 137:139 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp -i ! eth1 --dport 9011 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport ssh -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.0.0/16 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport www -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport https -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp -i ! eth1 --dport gds_db --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp -s 0.0.0.0 --dport 3060 --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp -i ! eth1 --dport smtp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport swat -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport mysql -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp -m tcp -s xxx.xxx.9.xxx/24 --dport 10000 -m state --state NEW -j ACCEPT # UDP iptables -A INPUT -p udp -m udp -s xxx.xxx.9.xxx/24 --dport 137:139 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m udp -s xxx.xxx.9.xxx/24 --dport www -m state --state NEW -j ACCEPT iptables -A INPUT -p udp -m udp -s xxx.xxx.9.xxx/24 --dport https -m state --state NEW -j ACCEPT iptables -A INPUT -p udp -m udp -s xxx.xxx.9.xxx/24 --dport mysql -m state --state NEW -j ACCEPT # ICMP iptables -A INPUT -p icmp -j ACCEPT #--------------------------------------------------------------------------- # Pakete, die herausgehen #--------------------------------------------------------------------------- iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # TCP iptables -A OUTPUT -p tcp -m tcp -d xxx.xxx.9.xxx/24 --dport 137:139 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 9011 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport ssh -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport ftp-data -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport pop3 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp -o ! eth1 --dport smtp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport www -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport https -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport domain -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --sport gds_db --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --sport 3060 --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT # UDP iptables -A OUTPUT -p udp -m udp -d xxx.xxx.9.x/24 --dport 137:139 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport www -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport https -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport domain -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport mysql -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport pop3 -m state --state NEW -j ACCEPT # ICMP iptables -A OUTPUT -p icmp -j ACCEPT
bmg4ever2 Geschrieben 20. Januar 2006 Geschrieben 20. Januar 2006 .... #--------------------------------------------------------------------------- # Pakete, die hereinkommen #--------------------------------------------------------------------------- iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ... #--------------------------------------------------------------------------- # Pakete, die herausgehen #--------------------------------------------------------------------------- iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ... Tu dir einen gefallen und nimm bei den beiden statements das NEW raus. Ansonsten ist das sicherheitstechnisch sehr bedenklich
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden