Firewall (iptables) blockiert trotz Freigabe von HTTP den Port 80 sporadisch
Server: ubuntu 10.04 LTS
Firewall: iptables
GUI: fwbuilder
Hallo Zusammen,
seltsames Phänomen:
Ich habe mehrere Server, die Identisch konfiguriert sind. Auf allen kann ich beobachten, dass trotz Freigabe des Dienstes HTTP(port 80, TCP) für alle IP's, sporadisch IPs geblockt werden und mit DENY in der Log landen.
Ein trace mit wireshark brachte bisher kein Ergebnis.
An welcher Stelle macht es Sinn anzufangen zu suchen ?
Grüße
Firewall: iptables
GUI: fwbuilder
Hallo Zusammen,
seltsames Phänomen:
Ich habe mehrere Server, die Identisch konfiguriert sind. Auf allen kann ich beobachten, dass trotz Freigabe des Dienstes HTTP(port 80, TCP) für alle IP's, sporadisch IPs geblockt werden und mit DENY in der Log landen.
Ein trace mit wireshark brachte bisher kein Ergebnis.
An welcher Stelle macht es Sinn anzufangen zu suchen ?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193335
Url: https://administrator.de/forum/firewall-iptables-blockiert-trotz-freigabe-von-http-den-port-80-sporadisch-193335.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @Luie86:
Hallo,
hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.
Hallo,
hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.
ggf noch logs schreiben, wenn Port 80 geblockt wird.
lks
Hallo,
Ich halte von den Frontends für diese ganzen Dingen nicht wirklich was, also empfehle ich dir dieses Buch für Iptables.
http://www.addison-wesley.de/main/main.asp?page=deutsch/bookdetails& ...
Vl. erstellst du ja irgendwann deine Firewall selbst.
Und Fail2Ban nutzt du definitiv nicht?
Gruß
Ich halte von den Frontends für diese ganzen Dingen nicht wirklich was, also empfehle ich dir dieses Buch für Iptables.
http://www.addison-wesley.de/main/main.asp?page=deutsch/bookdetails& ...
Vl. erstellst du ja irgendwann deine Firewall selbst.
Würde auch die Ausgabe von iptables -L reichen ?
Ja besser wie hier herumraten.Und Fail2Ban nutzt du definitiv nicht?
Gruß
Hi,
bitte benutz die < code> < /code> Tags, ohne Leerzeichen.
Erstell mal eine Regel:
und das vor deiner Regel
und für Output würde eigentlich
reichen.
Und für was braucht du die Forward Chains?
und gut ist.
Gruß
bitte benutz die < code> < /code> Tags, ohne Leerzeichen.
Erstell mal eine Regel:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
ACCEPT tcp -- anywhere anywhere tcp multiport dports 54321,www,https state NEW
und für Output würde eigentlich
iptables -A OUTPUT -j ACCEPT
Und für was braucht du die Forward Chains?
iptables -P FORWARD DROP
Gruß
Hallo,
oder du packst das in ein Shell Script und vergisst die GUI. Einfach ausführen und Firewall ist aktiv.
zum deaktivieren der Firewall führst du das aus.
Gruß
oder du packst das in ein Shell Script und vergisst die GUI. Einfach ausführen und Firewall ist aktiv.
#!/bin/bash
#Beginn der Definitionen
IPTABLES=´which iptables´ #Pfad zu den Iptables
DEV="eth0" #Netzwerkkarte
ADMIN_IP="" #Admin IP eintragen!!
###################################
##
## Ports
##
###################################
HTTP="80" #HTTP Port
HTTPS="443" #HTTPS Port
SSH="22" #SSH PORT
####################################
##
## Leere die Ketten
##
####################################
$IPTABLES -F
####################################
##
## Sperre Alles bis auf Output
##
####################################
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
#####################################
##
## Beginn der Regeln
##
#####################################
#Erlaube Bereits aufgebaute Verbindungen
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Erlaube HTTP von überall
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTP -m state --state NEW -j ACCEPT
#Erlaube HTTPS von überall
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT
#Erlaube SSH von Admin_IP
$IPTABLES -A INPUT -i $DEV -s $ADMIN_IP -p tcp --dport $SSH -m state --state NEW -j ACCEPT
#Erlaube Ping von überall
$IPTABLES -A INPUT -p icmp --icmp-type ping -j ACCEPT
zum deaktivieren der Firewall führst du das aus.
#!/bin/bash
#Beginn der Definitionen
IPTABLES=´which iptables´ #Pfad zu den Iptables
####################################
##
## Leere die Ketten
##
####################################
$IPTABLES -F
####################################
##
## Erlaube alles
##
####################################
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
Gruß
moin
Zum Thema fwbuilder:
Wenn man eine Umgebung hat, in der auch Leute, die sich ncith mit iptables auskenne Regel ein- oder auscschalten können sollen, ist fwbuilde rgar nciht so scheclt. Ist relativ einfach zu bedienen und macht normalerweise auch ordentliche Skripten, wenn auch nciht so schön wie "handgeschnitztes".
@to:
Du kannst in fwbuidler logs einschalten udn siehts dann im syslog, welche Regeln für den drop verantwortlich sind. dann kanst Du näher nachforschen.
lks
PS: Es pfuscht aber außer fwbuilder kein weiterer in den iptables rum, oder?
Zum Thema fwbuilder:
Wenn man eine Umgebung hat, in der auch Leute, die sich ncith mit iptables auskenne Regel ein- oder auscschalten können sollen, ist fwbuilde rgar nciht so scheclt. Ist relativ einfach zu bedienen und macht normalerweise auch ordentliche Skripten, wenn auch nciht so schön wie "handgeschnitztes".
@to:
Du kannst in fwbuidler logs einschalten udn siehts dann im syslog, welche Regeln für den drop verantwortlich sind. dann kanst Du näher nachforschen.
lks
PS: Es pfuscht aber außer fwbuilder kein weiterer in den iptables rum, oder?
Hallo,
du brauchst keine Regel die alles blockt. Für das hast du ja die Default Policy.
Iptables werden von oben nach unten abgearbeitet, das heist wenn eine Regel matcht werden die danach ignoriert.
Also wenn deine Allow Regel an erster Stelle ist, kommt er nie zur zweiten Stelle.
Immer Reihenfolge beachten.
Gruß
du brauchst keine Regel die alles blockt. Für das hast du ja die Default Policy.
Iptables werden von oben nach unten abgearbeitet, das heist wenn eine Regel matcht werden die danach ignoriert.
Also wenn deine Allow Regel an erster Stelle ist, kommt er nie zur zweiten Stelle.
Immer Reihenfolge beachten.
Gruß