1. 15-02-2009, 16:50 #1
    D. Koop
    D. Koop is offline Yourwebhoster.eu
    Berichten
    1.670
    Lid sinds
    16 Jaar

    Firewall configuratie

    Hallo Sd'rs
    ik vroeg mij af hoe anderen eigenlijk hun firewall configureren voor een server met DA? Ik heb het nu over een software firewall van linux: iptables en dan zonder die andere makkelijke configuratie programma's maar directe commando's.

    Ik ben nu aan het experimenteren hiermee voor mij zelf om mijn kennis wat uit te breiden zodat ik niet alleen afhankelijk ben van anderen met mijn servers waardoor ik eventuele problemen sneller kan verhelpen.

    Wat ik wil is dat iptables alle connecties weigert die niet gebruikt worden door DA (ik gebruik de custombuild met oa dovecot enz) maar dat alle verbindingen die van binnenuit de server gemaakt worden naar alle poorten toegankelijk is en gewoon werkt, zodat bijvoorbeeld yum blijft werken maar ik met een php script verbinding kan maken met een andere server op poort 119 , 21 of een andere poort wat ik maar wil zonder dat ik de firewall hoef aan te passen. Ik heb nu al het een en al geprobeerd maar ik kom er niet uit. De poorten gaan wel open, maar zodra ik bijvoorbeeld yum doe of een dergelijk php scriptje loop ik tegen de blokkering door iptables op. Misschien dat iemand alvast een configuratie heeft liggen? Of misschien dat iemand iets beters heeft?

    De server waarmee ik bezig ben heeft Centos, daar draaien de meeste servers op.
  3. 16-02-2009, 07:23 #2
    jhaagmans
    jhaagmans is offline The Silver Mountain
    Berichten
    349
    Lid sinds
    17 Jaar

    Er bestaan een aantal specifiek voor DA geschikte iptables configuratie scripts. DA-KISS is een voorbeeld, maar APF is ook prima bruikbaar. Het blijft wel belangrijk om elk script ook nog even zelf na te lopen. Draait SSH bijvoorbeeld wel op poort 22? Dat zijn dingen waar je over na moet denken. Volgens mij hebben zowel KISS als APF een configuratiemode waar, als je uit je server gegooid wordt, na vijf minuten je iptables weer geflusht worden. Gebruik het verstandig.
  4. 16-02-2009, 07:58 #3
    D. Koop
    D. Koop is offline Yourwebhoster.eu
    Berichten
    1.670
    Lid sinds
    16 Jaar

    Ik wil het eigenlijk zonder die scripts doen: ik heb APF geprobeerd maar die werkt niet, een installatie fout. Maar als ik nou gewoon de commando's kan krijgen of iets in die richting kom ik al een heel end. ik weet al hoe ik ze moet laten uitvoeren als de service opnieuw opstart en dergelijke.
  5. 16-02-2009, 09:37 #4
    jhaagmans
    jhaagmans is offline The Silver Mountain
    Berichten
    349
    Lid sinds
    17 Jaar

    Download DA-KISS eens. Je hoeft geen atoomfysicus te zijn om die een beetje uit te pluizen en te kijken wat ze doen.

    Als je alleen de commando's wilt weten is een simpel 'iptables -h' ook genoeg. Maar uit DA-KISS haal je wel wat nuttige zaken.

    Daarnaast zul je altijd een script moeten gebruiken, je zult bij het opstarten toch automatisch al die regels in je iptables moeten inladen. Of je nu een zelfgemaakt script of een voorgebouwd script gebruikt. Of wil je na elke reboot die regels een voor een weer gaan uittypen?
  6. 16-02-2009, 10:45 #5
    D. Koop
    D. Koop is offline Yourwebhoster.eu
    Berichten
    1.670
    Lid sinds
    16 Jaar

    Citaat Origineel gepost door jhaagmans
    Download DA-KISS eens. Je hoeft geen atoomfysicus te zijn om die een beetje uit te pluizen en te kijken wat ze doen.

    Als je alleen de commando's wilt weten is een simpel 'iptables -h' ook genoeg. Maar uit DA-KISS haal je wel wat nuttige zaken.

    Daarnaast zul je altijd een script moeten gebruiken, je zult bij het opstarten toch automatisch al die regels in je iptables moeten inladen. Of je nu een zelfgemaakt script of een voorgebouwd script gebruikt. Of wil je na elke reboot die regels een voor een weer gaan uittypen?
    Ik weet wel hoe ik het moet configureren, alleen het probleem is dat ik ook alles blokkeer van binnenuit waardoor mijn e-mails niet meer verstuurd worden doordat een dns lookup bijvoorbeeld niet kan en dat soort dingen.

    Ik heb even opgezocht wat ik had, dat was dit dacht ik:
    Code:
        #!/bin/sh
  
  # Flushing all rules
  iptables -F
  iptables -X
  # Setting default filter policy
  iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD DROP
  # Allow unlimited traffic on loopback
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A OUTPUT -o lo -j ACCEPT
  # Allow incoming ssh only
  iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
  iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 2222 -j ACCEPT
  iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
  iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
  iptables -A INPUT -p tcp --dport 25 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
  iptables -A INPUT -p tcp --dport 110 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
  iptables -A INPUT -p tcp --dport 143 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 143 -j ACCEPT
  iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
  iptables -A INPUT -p tcp --dport 53 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
  # make sure nothing comes or goes out of this box
  iptables -A INPUT -j DROP
  iptables -A OUTPUT -j DROP
    Alleen werken bepaalde programma's niet doordat ze geen verbinding naar buiten kunnen leggen, ik wil dit juist toestaan.

Tags voor dit bericht

Quick links

Sitedeals

Andere media

Over Sitedeals

  • Sitedeals.nl is de grootste handelswebsite voor website eigenaren. Deel kennis en participeer op het webmasterforum.

Inloggen

Inloggen