[Linux] iptables // Absicherung bei Verbinungsunterbrechung

Logan Zufall

Junior Member
Hallo,
ich würde mich freuen wenn mal einer über mein Script drüber schaut ob ich das gemacht habe wie ich mir das denke :D

IPv6 habe ich fast ganz erstmal außen vorgelassen in dem ich es in /etc/sysctl.conf deaktiviert habe..

Meine "ifconfig"
eth0 - LAN
lo - Local Loopback..
tun0 - TUN Adapter
wlan0 - wird nicht verwendet

PHP:
# Interface-Definitionen
# 192.168.0.0/16 = Subnetz 255.255.0.0

# Das Regelwerk loeschen
sudo iptables -F

# Alles, was nicht explizit erlaubt wird, ist verboten; setzen Sie die Policy für alle drei Ketten
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

# Stateful Inspection erlauben
sudo iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# IPv6 in IPv4 blocken (3. Regel mir unsicher)
sudo iptables -t filter -A INPUT -p 41 -j DROP
sudo iptables -t filter -A FORWARD -p 41 -j DROP
sudo iptables -t filter -A OUTPUT -p 41 -j DROP

# Enable local access from lan
sudo iptables -t filter -A OUTPUT --dst 192.168.0.0/16 -j ACCEPT
sudo iptables -t filter -A INPUT --src 192.168.0.0/16 -j ACCEPT

# Loopback-Kommunikation erlauben
sudo iptables -t filter -A OUTPUT -o lo -j ACCEPT
sudo iptables -t filter -A INPUT -i lo -j ACCEPT

# Kommunikation über TUN Adapter zum VPN erlauben
sudo iptables -t filter -A OUTPUT -o tun0 -j ACCEPT
sudo iptables -t filter -A INPUT -i tun0 -j ACCEPT

# Allow DNS(53) and ports for vpn server connection (UDP Preset)
sudo iptables -t filter -A OUTPUT -o eth0 -p udp -m multiport --dports 53,149,150,151,1149,1150,1151 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A OUTPUT -o eth0 -p tcp -m multiport --dports 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i eth0 -p udp -m multiport --sports 53,149,150,151,1149,1150,1151 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t filter -A INPUT -i eth0 -p tcp -m multiport --sports 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

1. Nun sollte ich nach dem ausführen des scripts die iptables permant ändern können anhand dieser https://board.perfect-privacy.com/threads/linux-absichern-mit-den-iptables.343/page-6#post-7071 Anleitung oder ?

2. Ich müsste doch alles blockiert haben.. außer den Zugriff aus 192.168.*.* Netz , DNS Port 35 (TCP+UDP) und die entsprechenden Ports für den Verbindungsaufbau zum PP Server.
Wenn noch jemand Tipps hat, was ich noch blockieren sollte/kann bzw wie ich noch weniger freigeben kann ohne Funktionsverlust, würde ich mich über eine Antwort freuen.


Meine hilfreichen Links bzw Webseiten zu dem Thema:

Rein gehauen o_O
Logan
 
Back
Top