15
Firewall (iptables) blockiert trotz Freigabe von HTTP den Port 80 sporadisch
Server: ubuntu 10.04 LTS
Firewall: iptables
GUI: fwbuilder
Hallo Zusammen,
seltsames Phänomen:
Ich habe mehrere Server, die Identisch konfiguriert sind. Auf allen kann ich beobachten, dass trotz Freigabe des Dienstes HTTP(port 80, TCP) für alle IP's, sporadisch IPs geblockt werden und mit DENY in der Log landen.
Ein trace mit wireshark brachte bisher kein Ergebnis.
An welcher Stelle macht es Sinn anzufangen zu suchen ?
Grüße
Firewall: iptables
GUI: fwbuilder
Hallo Zusammen,
seltsames Phänomen:
Ich habe mehrere Server, die Identisch konfiguriert sind. Auf allen kann ich beobachten, dass trotz Freigabe des Dienstes HTTP(port 80, TCP) für alle IP's, sporadisch IPs geblockt werden und mit DENY in der Log landen.
Ein trace mit wireshark brachte bisher kein Ergebnis.
An welcher Stelle macht es Sinn anzufangen zu suchen ?
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193335
Url: https://administrator.de/contentid/193335
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.
Gruß Daniel
hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.
Gruß Daniel
Zitat von @Luie86:
Hallo,
hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.
Hallo,
hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.
ggf noch logs schreiben, wenn Port 80 geblockt wird.
lks
Hallo,
Sporadisch? Eine Firewall Regel wird immer gleich abgearbeitet, egal wann.
Gibt es Gemeinsamkeiten bei den geblockten Anfragen?
Sonst wie meine Vorredner schon sagtem poste doch mal dein IPTables Script.
Gruß
Sporadisch? Eine Firewall Regel wird immer gleich abgearbeitet, egal wann.
Gibt es Gemeinsamkeiten bei den geblockten Anfragen?
Sonst wie meine Vorredner schon sagtem poste doch mal dein IPTables Script.
Gruß
Danke für Eure Antworten.
IPtables Script, das wird von fwbuilder erstellt.
Würde auch die Ausgabe von iptables -L reichen ?
Grüße
IPtables Script, das wird von fwbuilder erstellt.
Würde auch die Ausgabe von iptables -L reichen ?
Grüße
Hallo,
Ich halte von den Frontends für diese ganzen Dingen nicht wirklich was, also empfehle ich dir dieses Buch für Iptables.
http://www.addison-wesley.de/main/main.asp?page=deutsch/bookdetails& ...
Vl. erstellst du ja irgendwann deine Firewall selbst.
Und Fail2Ban nutzt du definitiv nicht?
Gruß
Ich halte von den Frontends für diese ganzen Dingen nicht wirklich was, also empfehle ich dir dieses Buch für Iptables.
http://www.addison-wesley.de/main/main.asp?page=deutsch/bookdetails& ...
Vl. erstellst du ja irgendwann deine Firewall selbst.
Würde auch die Ausgabe von iptables -L reichen ?
Ja besser wie hier herumraten.Und Fail2Ban nutzt du definitiv nicht?
Gruß
Hallo Hitman4021,
nein wir benutzen kein fail2ban, habe es gerade gecheckt.
Hier die Ausgabe von iptables -L -> habe die IPs geändert
Es schlägt also ab und zu "RULE 7" an.
Auzug aus syslog:
nein wir benutzen kein fail2ban, habe es gerade gecheckt.
Hier die Ausgabe von iptables -L -> habe die IPs geändert
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Cid20641X25196.0 all -- server1 anywhere
Cid20641X25196.0 all -- localhost.localdomain anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- IPs intern anywhere state NEW
Cid21045X25196.0 tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT tcp -- anywhere anywhere tcp multiport dports 54321,www,https state NEW
ACCEPT icmp -- PROVIDER anywhere icmp type 8 code 0 state NEW
In_RULE_7 all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
In_RULE_7 all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
Chain Cid20641X25196.0 (2 references)
target prot opt source destination
DROP all -- anywhere server1
DROP all -- anywhere localhost.localdomain
Chain Cid21045X25196.0 (1 references)
target prot opt source destination
In_RULE_3 all -- IP 2 anywhere
In_RULE_3 all -- IP 3 anywhere
Chain In_RULE_3 (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info prefix `RULE 3 -- ACCEPT '
ACCEPT all -- anywhere anywhere
Chain In_RULE_7 (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info prefix `RULE 7 -- DENY '
DROP all -- anywhere anywhere Es schlägt also ab und zu "RULE 7" an.
Auzug aus syslog:
Oct 26 14:32:17 server kernel: [6329164.066004] RULE 7 -- DENY IN=eth0 OUT= MAC=00:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:00 SRC=ZZZ.ZZZ.ZZZ.zzz DST=XXX.XXX.xxx.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=13373 DF PROTO=TCP SPT=51826 DPT=80 WINDOW=16329 RES=0x00 ACK FIN URGP=0
Hi,
bitte benutz die < code> < /code> Tags, ohne Leerzeichen.
Erstell mal eine Regel:
und das vor deiner Regel
und für Output würde eigentlich
reichen.
Und für was braucht du die Forward Chains?
und gut ist.
Gruß
bitte benutz die < code> < /code> Tags, ohne Leerzeichen.
Erstell mal eine Regel:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPTACCEPT tcp -- anywhere anywhere tcp multiport dports 54321,www,https state NEWund für Output würde eigentlich
iptables -A OUTPUT -j ACCEPTUnd für was braucht du die Forward Chains?
iptables -P FORWARD DROPGruß
Hallo,
oder du packst das in ein Shell Script und vergisst die GUI. Einfach ausführen und Firewall ist aktiv.
zum deaktivieren der Firewall führst du das aus.
Gruß
oder du packst das in ein Shell Script und vergisst die GUI. Einfach ausführen und Firewall ist aktiv.
#!/bin/bash
#Beginn der Definitionen
IPTABLES=´which iptables´ #Pfad zu den Iptables
DEV="eth0" #Netzwerkkarte
ADMIN_IP="" #Admin IP eintragen!!
###################################
##
## Ports
##
###################################
HTTP="80" #HTTP Port
HTTPS="443" #HTTPS Port
SSH="22" #SSH PORT
####################################
##
## Leere die Ketten
##
####################################
$IPTABLES -F
####################################
##
## Sperre Alles bis auf Output
##
####################################
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
#####################################
##
## Beginn der Regeln
##
#####################################
#Erlaube Bereits aufgebaute Verbindungen
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Erlaube HTTP von überall
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTP -m state --state NEW -j ACCEPT
#Erlaube HTTPS von überall
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT
#Erlaube SSH von Admin_IP
$IPTABLES -A INPUT -i $DEV -s $ADMIN_IP -p tcp --dport $SSH -m state --state NEW -j ACCEPT
#Erlaube Ping von überall
$IPTABLES -A INPUT -p icmp --icmp-type ping -j ACCEPTzum deaktivieren der Firewall führst du das aus.
#!/bin/bash
#Beginn der Definitionen
IPTABLES=´which iptables´ #Pfad zu den Iptables
####################################
##
## Leere die Ketten
##
####################################
$IPTABLES -F
####################################
##
## Erlaube alles
##
####################################
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPTGruß
Hallo,
danke, bin aber auf fwbuilder angewiesen, da auch andere einen Blick darauf werfen.
Einen Tipp, wie ich es anpassen könnte ?
Ich habe die Regel als einzelne Regel mit fwbuilder eingefügt und das gleiche Ergebnis:
ca 20 % der Zugriffe auf Port 80 werden verboten.
Ich bin nicht so frei im probieren, da der Server live ist.
Grüße
danke, bin aber auf fwbuilder angewiesen, da auch andere einen Blick darauf werfen.
Einen Tipp, wie ich es anpassen könnte ?
Ich habe die Regel als einzelne Regel mit fwbuilder eingefügt und das gleiche Ergebnis:
ca 20 % der Zugriffe auf Port 80 werden verboten.
Ich bin nicht so frei im probieren, da der Server live ist.
Grüße
Hallo,
dann füg die Regel mal ganz oben ein.
Dann muss er sie annehmen.
Gruß
dann füg die Regel mal ganz oben ein.
Dann muss er sie annehmen.
Gruß
moin
Zum Thema fwbuilder:
Wenn man eine Umgebung hat, in der auch Leute, die sich ncith mit iptables auskenne Regel ein- oder auscschalten können sollen, ist fwbuilde rgar nciht so scheclt. Ist relativ einfach zu bedienen und macht normalerweise auch ordentliche Skripten, wenn auch nciht so schön wie "handgeschnitztes".
@to:
Du kannst in fwbuidler logs einschalten udn siehts dann im syslog, welche Regeln für den drop verantwortlich sind. dann kanst Du näher nachforschen.
lks
PS: Es pfuscht aber außer fwbuilder kein weiterer in den iptables rum, oder?
Zum Thema fwbuilder:
Wenn man eine Umgebung hat, in der auch Leute, die sich ncith mit iptables auskenne Regel ein- oder auscschalten können sollen, ist fwbuilde rgar nciht so scheclt. Ist relativ einfach zu bedienen und macht normalerweise auch ordentliche Skripten, wenn auch nciht so schön wie "handgeschnitztes".
@to:
Du kannst in fwbuidler logs einschalten udn siehts dann im syslog, welche Regeln für den drop verantwortlich sind. dann kanst Du näher nachforschen.
lks
PS: Es pfuscht aber außer fwbuilder kein weiterer in den iptables rum, oder?
Hallo,
nun fwbuilder stellt mit diesem Aufruf die Regel zusammen:
Grüße
nun fwbuilder stellt mit diesem Aufruf die Regel zusammen:
$IPTABLES -A INPUT -i eth0 -p tcp -m tcp -m multiport --dports XXXX,80,443 -m state --state NEW -j ACCEPT
Hallo,
wenn die noch an der richtigen Position steht sollte es funtioniern.
Ist diese nun bei iptables -L ganz oben?
Gruß
wenn die noch an der richtigen Position steht sollte es funtioniern.
Ist diese nun bei iptables -L ganz oben?
Gruß
Nun es wird nur über fwbuilder die iptables gesetzt. Die Regel weiß ich schon welche blockiert, das ist die letzte Regel. Die alles verbieten soll was nicht frei gegeben wurde.
Hallo,
du brauchst keine Regel die alles blockt. Für das hast du ja die Default Policy.
Iptables werden von oben nach unten abgearbeitet, das heist wenn eine Regel matcht werden die danach ignoriert.
Also wenn deine Allow Regel an erster Stelle ist, kommt er nie zur zweiten Stelle.
Immer Reihenfolge beachten.
Gruß
du brauchst keine Regel die alles blockt. Für das hast du ja die Default Policy.
Iptables werden von oben nach unten abgearbeitet, das heist wenn eine Regel matcht werden die danach ignoriert.
Also wenn deine Allow Regel an erster Stelle ist, kommt er nie zur zweiten Stelle.
Immer Reihenfolge beachten.
Gruß
