[GUIDE] Iptables för din VPS

Almänna diskussioner, tips m.m. om virtualisering
Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 02 feb 2011, 13:47

Hej det var konstigt vad säger:

Kod: Markera allt

iptables -L
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

carl-joel
Inlägg: 6
Blev medlem: 26 aug 2010, 09:40

Re: [GUIDE] Iptables för din VPS

Inläggav carl-joel » 02 feb 2011, 14:09

Hej Stefan!

Den säger:

Kod: Markera allt

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:mysql
ACCEPT     all  --  localhost.localdomain  anywhere
icmp_packets  icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:telnet
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:mysql
ACCEPT     all  --  anywhere             localhost.localdomain
icmp_packets  icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain LOG_ACCEPT (0 references)
target     prot opt source               destination

Chain LOG_DROP (0 references)
target     prot opt source               destination

Chain icmp_packets (2 references)
target     prot opt source               destination

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 02 feb 2011, 14:20

du accepter både

Chain OUTPUT (policy DROP)
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https

så det borde gå att nå över dessa portar, vad är det du försöker nå med php?, ligger det på en port som inte är standard?
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

carl-joel
Inlägg: 6
Blev medlem: 26 aug 2010, 09:40

Re: [GUIDE] Iptables för din VPS

Inläggav carl-joel » 02 feb 2011, 19:06

Testade på en fristående webbsida att lägga in denna php-kod

Kod: Markera allt

<?php
$urlToFopen = fopen("http://www.google.se/", "r");
if ($urlToFopen)
    print "fopen fungerar";
else
   print "fopen fungerar inte";
?>


Det resulterar i "fopen fungerar inte" med iptables påslaget med tidigare regler, och utan några regler i iptables så resulterar det i "fopen fungerar".
Så definitivt något med Iptables som gör så att fopen inte kan kommunicera... :roll:

PHP felet som loggades var för övrigt: PHP Warning: fopen(http://www.google.se/): failed to open stream: php_network_getaddresses:getaddrinfo failed: Temporary failure in name resolution in [...]

Uppdaterat:
Problemet är löst nu.

Jag hade inte öppet port 53 för DNS.
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

carlt
Inlägg: 1
Blev medlem: 02 feb 2011, 20:29

Re: [GUIDE] Iptables för din VPS

Inläggav carlt » 02 feb 2011, 21:03

Jag har följt guide:n så gott jag kan men får följande felmeddelande när jag kör iptables-restore:

Kod: Markera allt

FATAL: Could not load /lib/modules/2.6.18-194.17.1.el5.028stab070.7/modules.dep: No such file or directory
'ptables-restore v1.4.2: iptables-restore: unable to initialize table 'mangle


Har redan provat att ta bort mellanslagen. Kör Debian 5.0 hos GleSYS.

Vad har jag missat? Kanske borde förbjuda mig själv från att avinstallera paket med aptitude? :D

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 03 feb 2011, 08:50

carl-joel skrev:Testade på en fristående webbsida att lägga in denna php-kod

Kod: Markera allt

<?php
$urlToFopen = fopen("http://www.google.se/", "r");
if ($urlToFopen)
    print "fopen fungerar";
else
   print "fopen fungerar inte";
?>


Det resulterar i "fopen fungerar inte" med iptables påslaget med tidigare regler, och utan några regler i iptables så resulterar det i "fopen fungerar".
Så definitivt något med Iptables som gör så att fopen inte kan kommunicera... :roll:

PHP felet som loggades var för övrigt: PHP Warning: fopen(http://www.google.se/): failed to open stream: php_network_getaddresses:getaddrinfo failed: Temporary failure in name resolution in [...]

Uppdaterat:
Problemet är löst nu.

Jag hade inte öppet port 53 för DNS.
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT


Bra jobbat!

carlt skrev:Jag har följt guide:n så gott jag kan men får följande felmeddelande när jag kör iptables-restore:

Kod: Markera allt

FATAL: Could not load /lib/modules/2.6.18-194.17.1.el5.028stab070.7/modules.dep: No such file or directory
'ptables-restore v1.4.2: iptables-restore: unable to initialize table 'mangle


Har redan provat att ta bort mellanslagen. Kör Debian 5.0 hos GleSYS.

Vad har jag missat? Kanske borde förbjuda mig själv från att avinstallera paket med aptitude? :D


Kan du maila in till support vilket konto som är ditt, det är möjligt att den modulen saknas på den hårdvara där din server ligger.
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

Användarvisningsbild
Jonas
Inlägg: 117
Blev medlem: 17 aug 2009, 16:41
Ort: Stockholm

Re: [GUIDE] Iptables för din VPS

Inläggav Jonas » 14 feb 2011, 06:09

Vi får ofta frågan om att blockera SSH. Vi rekommenderar att man blockerar SSH efter ett visst antal inloggninsförsök.
Det kan man göra med iptables modul recent, exempel enligt nedan:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 10 --rttl --name SSH -j DROP

Ovan blockerar SSH i 3 minuter efter 10 inloggnigsförsök. Jag har ställt den på 10 eftersom den även räknar lyckade inloggninsförsök.
Det gör iaf att den som attackerar inte kan gissa lösenord med hög hastighet.
Mvh
Jonas, Internet Engineer - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg

Urme
Inlägg: 2
Blev medlem: 10 mar 2011, 17:41

Re: [GUIDE] Iptables för din VPS

Inläggav Urme » 10 mar 2011, 18:09

Varning för en dum fråga ;)

Men hur kopierar jag in detta i konsolen från adminet? Har testat att kopiera in det i clipboarden och sedan CTRL-U, men det fungerar inte. Började att skriva av allting men blev för struligt ;)

EDIT: Körde Putty istället, så fick till det utan problem.

mickekring
Inlägg: 2
Blev medlem: 21 feb 2011, 11:34

Re: [GUIDE] Iptables för din VPS

Inläggav mickekring » 21 mar 2011, 15:19

Hej och tack för en grym tutorial.

Jag är galet nybörjare på linux, men har bl a med hjälp av detta forum lyckats dragit igång joomla+wordpress på ubuntu 10.04/nginx/php5-fpm på en VPS hos Glesys. Men...

Jag har iptables igång enligt din beskrivning och har öppnat upp ett par portar till som jag behöver. Alles funkar klockrent, men jag märker att det inte går att pinga min webserver. Jag ser att det finns regler för ICMP, men de kanske stänger möjligheter till ping. Med risk för att jag låter som en idiot så märker jag också att joomla inte kan hämta ip-adresser från folk som kommenterar på vår sajt (till skillnad från när vi låg på shared host och det gick att pinga den webservern). Har det något att göra med ping?
I så fall, utifrån beskrivningen i denna tutorial, hur tillåter man ping? Vad behöver jag lägga till?

Tackar på förhand!

Stefan
Inlägg: 179
Blev medlem: 25 jul 2007, 15:03

Re: [GUIDE] Iptables för din VPS

Inläggav Stefan » 21 mar 2011, 15:29

Hej vad får du om du editerar icmp delen av skriptet till nedan på respektive ställe:

Kod: Markera allt

-A INPUT -p icmp -j ACCEPT

Kod: Markera allt

-A OUTPUT -p icmp -j ACCEPT


så editera filen så du har detta istället under icmp och se vad du får om du kör om reglerna.
Mvh
Stefan, Servertekniker - support@glesys.se - http://glesys.se/
GleSYS Internet Services AB | Box 134 | 311 22 Falkenberg


Återgå till "Allmänt"

Vilka är online

Användare som besöker denna kategori: 1 och 0 gäst