9
Server mit iptables absichern
Hallo, möchte einen Ubuntuserver von den anderen Geräten im LAN abschotten.
Der Server soll/muss vom Internet aus erreichbar sein und von einem per VPN angebundenem LAN auch.
Internet und VPN geht durch eine Firewall.
Wie geht das per iptables ?
LAN mit Server: 192.168.1.0/24
Server: 192.168.1.10
Andere Server: 192.168.1.1 - 192.168.1.9
Gateway: 192.168.1.254
LAN hinter VPN: 192.168.2.0/24
Ziel soll sein:
Internet <--> Server : muss gehen, wird durch die Firewall gesichert
Server <--> andere Server : darf nix gehen
Server <--> VPN : muss gehen
vG
LS
Der Server soll/muss vom Internet aus erreichbar sein und von einem per VPN angebundenem LAN auch.
Internet und VPN geht durch eine Firewall.
Wie geht das per iptables ?
LAN mit Server: 192.168.1.0/24
Server: 192.168.1.10
Andere Server: 192.168.1.1 - 192.168.1.9
Gateway: 192.168.1.254
LAN hinter VPN: 192.168.2.0/24
Ziel soll sein:
Internet <--> Server : muss gehen, wird durch die Firewall gesichert
Server <--> andere Server : darf nix gehen
Server <--> VPN : muss gehen
vG
LS
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324967
Url: https://administrator.de/forum/server-mit-iptables-absichern-324967.html
Ausgedruckt am: 02.04.2025 um 04:04 Uhr
9 Kommentare
Neuester Kommentar
Steck ihn in ein eigenes Netz.
Ansnsten alles außer dem vpn droppen.
lks
Ansnsten alles außer dem vpn droppen.
lks
hmm..
ich glaube er wollte jetzt ein script von dir
Frank
ich glaube er wollte jetzt ein script von dir
Frank
Moin,
ich hab früher immer mit FirewallBuilder meine iptables zusammengestellt. Fand ich irgendwie einfacher und übersichtlicher.
Gruß,
Dani
ich hab früher immer mit FirewallBuilder meine iptables zusammengestellt. Fand ich irgendwie einfacher und übersichtlicher.
Gruß,
Dani
eigenes Netz ist schon optimal, aber ein iptables Script ist schneller gestartet (wenn es denn so geht), vor allem, wenn man nur ssh Zugang zum Server hat
ich glaube er wollte jetzt ein script von dir
JAAHHH 
Hallo usammen,
daher kommt und den SoftEtherVPN Server mittels dem man eine Konfiguration besser vornehmen kann. Ansonsten alles abschalten
und nur SSH zur Konfiguration und alles für das VPN öffnen ist auch mein Tipp hier.
Gruß
Dobby
JAAHHH
Nun gut da kann man nichts mehr machen, ich wollte nur noch nachträglich noch CentOS mit ins Spiel bringen da es schon gehärtetdaher kommt und den SoftEtherVPN Server mittels dem man eine Konfiguration besser vornehmen kann. Ansonsten alles abschalten
und nur SSH zur Konfiguration und alles für das VPN öffnen ist auch mein Tipp hier.
Gruß
Dobby
Moin,
fertige Skripten findet man da.
Für ssh könnte das Skript z.B. so aussehen:
#!/bin/sh
# Skript blockt allen Traffic von und nach draußen außer ssh
# abgeschrieben/geklaut bei https://www.cyberciti.biz/tips/linux-iptables-4-block-all-incoming-traffic-but-allow-ssh.html
# Flushing all rules
iptables -F
iptables -X
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Allow unlimited traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow ssh only
# Eingehendes ssh
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Ausgehendes ssh
/sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# make sure nothing comes or goes out of this box
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
Die passenden Ports oder Protokolle für Dein VPN-Protokoll überlasse ich Dir zu Übung.
Merke: Dieses Forum ist dazu da, daß sich die Mitglieder gegenseitig bei Problemen helfen, Nicht dazu, daß einer "Spring!" sagt und die andere nur noch fragen "wie hoch?". Wor allem wird hier (zumindest von mir) erwartet, daß die Fragensteller zumindest ein wenig mit der Thematik befaßt haben und versucht haben, das Problem schon selbst zu lösen. Für fertige Lösungen gibt es Dienstleister (das mache ich übrigens auch, gegen Bares meinen Kunden fertige Lösungen hinstellen).
Wenn ich also nicht gleich die fertige Lösung hinschreibe, dient das als meist dem Erkentnisgewinn des Fragenstellers und nicht der Pflege meiner Bosheit.
lks
Hallo lks,
mein "JAAHHH " war nicht so ernst gemeint, wie Du vielleicht denkst. Von daher ein dickes Lob, dass Du trotzdem Code 'geliefert' hast !!
Habe mir gestern noch die Videos von den pascom Brüdern zum Thema angeschaut - nun ist vieles klarer.
vG
LS
mein "JAAHHH
" war nicht so ernst gemeint, wie Du vielleicht denkst. Von daher ein dickes Lob, dass Du trotzdem Code 'geliefert' hast !!Habe mir gestern noch die Videos von den pascom Brüdern zum Thema angeschaut - nun ist vieles klarer.
vG
LS
Zitat von @laster:
Hallo lks,
mein "JAAHHH " war nicht so ernst gemeint, wie Du vielleicht denkst. Von daher ein dickes Lob, dass Du trotzdem Code 'geliefert' hast !!
Habe mir gestern noch die Videos von den pascom Brüdern zum Thema angeschaut - nun ist vieles klarer.
Hallo lks,
mein "JAAHHH
" war nicht so ernst gemeint, wie Du vielleicht denkst. Von daher ein dickes Lob, dass Du trotzdem Code 'geliefert' hast !!Habe mir gestern noch die Videos von den pascom Brüdern zum Thema angeschaut - nun ist vieles klarer.
Dann ist's ja gut.
Noch ein Tipp: Mit dem Parameter -protocol kann man protokolle wie esp oder gre, die man für manche VPN-Protokolle braucht, reglementieren.
lks
