Zum Inhalt der Seite gehen

iptables-Problem

Ich bin hier am verzweifeln. Warum droppt iptables nicht die IP dort unten? Ich habe wohl Tomaten auf den Augen:

*filter
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:INPUT DROP [0:0]
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p udp -m udp -i eth0 --dport 9876 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 12345 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth0 --dport 22 -j ACCEPT
-A INPUT -p udp --dport 33434:33523 -j ACCEPT
-A INPUT -p icmp -m state --icmp-type 8/0 --state NEW -j ACCEPT
-A INPUT -s 185.170.114.55 -j DROP
-A OUTPUT -p icmp -m state --icmp-type 8/0 --state NEW -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*mangle
:POSTROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
COMMIT
# Completed


Sieht da jemand den Fehler auf den ersten Blick. Ich habe in Stunden nix gefunden. Alle Ports ausser die freigegebenen werden blockiert. Aber die angegebene IP (Testweise eine von eigenem Server) nicht. Alles über Fail2Ban funktioniert übrigens, da andere Chain. Ich weiß nicht mehr weiter. Auch manuell eingegebene IPs zum droppen werden ignoriert. Ergo muss es oben drüber passieren. Aber da habe ich auch schon gebastelt und mich sogar ausgesperrt, sodass ich über die Konsole im RZ ran musste.

Als Antwort auf katzenjens

katzenjens
katzenjens

Habe es nun so gelöst:
Den Kram, welchen ich vor den Drops hatte, in eine Chain mit dem Namen "SETUP" gepackt. Diese Chain hinter :INPUT und dann INPUT auf ACCESS default gesetzt. Nun funktioniert alles. Danke nochmal für den Denkanstoß.
/etc/iptables/rules.v4

*filter
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:SETUP DROP [0:0]
-A SETUP -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A SETUP -i lo -j ACCEPT
-A SETUP -s 127.0.0.1 -i lo -j ACCEPT
-A SETUP -i tun0 -j ACCEPT
-A SETUP -p udp -m udp -i eth0 --dport 9876 -j ACCEPT
-A SETUP -p tcp -m tcp -i eth0 --dport 80 -j ACCEPT
-A SETUP -p tcp -m tcp -i eth0 --dport 443 -j ACCEPT
-A SETUP -p tcp -m tcp -i eth0 --dport 12345 -j ACCEPT
-A SETUP -p tcp -m tcp -i eth0 --dport 22 -j ACCEPT
-A SETUP -p udp --dport 33434:33523 -j ACCEPT
-A SETUP -p icmp -m state --icmp-type 8/0 --state NEW -j ACCEPT
-A INPUT -s 185.170.114.55 -j DROP
-A INPUT -s 46.36.37.19 -j DROP
-A INPUT -s 193.176.211.0/24 -j DROP
-A INPUT -s 193.176.211.0/24 -j DROP
-A INPUT -s 85.203.21.0/24 -j DROP
-A INPUT -s 193.37.32.0/24 -j DROP
-A INPUT -s 91.92.240.0/18 -j DROP
-A INPUT -s 45.66.231.0/24 -j DROP
-A INPUT -s 45.89.247.0/24 -j DROP
-A INPUT -s 94.156.65.0/21 -j DROP
-A OUTPUT -p icmp -m state --icmp-type 8/0 --state NEW -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*mangle
:POSTROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
COMMIT
# Completed
Als Antwort auf katzenjens

Lalufu
Lalufu
Du bist sicher, dass der Kram in `SETUP` überhaupt ausgeführt wird? Ich sehe spontan nicht, wo das referenziert wird.
Als Antwort auf Lalufu

katzenjens
katzenjens
Jupp. Das ist noch nicht bis zu Ende durchdacht. Ich war davon ausgegangen, dass :SETUP DROP das bewirkt. Gnaaaa. So langsam verstehe ich, wieso viele lieber ufw nehmen. Habe den Setup-Kram gelöscht und wie empfohlen, die zu sperrenden IPs ganz nach vorne, danach die Regeln was durchzulassen ist und zum Schluß alles andere gesperrt. So läuft es nun.