Firewall ausgehend einschränken

Bisher habe ich die Firewall regeln auf meinen Servern so eingerichtet das nur Dienste geschützt worden sind die auch laufen. Jetzt wollte ich das dahingehend umstellen das nur noch erlaubte Dienste etwas dürfen und das auch für den ausgehenden Verkehr.

ACHTUNG: Dies sind meine Notizen und kein Lehrbuch. Use at your own risk.

Basis war vor allem dieses Dokument.

So, erst einmal sehen was schon da ist

  sudo iptables -L --line-numbers
  Chain INPUT (policy ACCEPT)
  num  target     prot opt source               destination         
  1    ACCEPT     tcp  --  mail.hagen-bauer.de  anywhere             tcp dpt:smtp
  2    ACCEPT     tcp  --  mail.1bis3.de        anywhere             tcp dpt:smtp
  3    ACCEPT     tcp  --  localhost.localdomain  anywhere             tcp dpt:smtp
  4    DROP       tcp  --  anywhere             anywhere             tcp dpt:smtp

  Chain FORWARD (policy ACCEPT)
  num  target     prot opt source               destination         

  Chain OUTPUT (policy ACCEPT)
  num  target     prot opt source               destination   

Jetzt wollte ich

  • Antworten auf eigene Anfagen
  • ssh Verbindung
  • internen Verkehr auf localhost

erlauben.

Die alte Regel 4 wird durch einen generellen Drop ersetzt

  sudo iptables -D INPUT 4
  sudo iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  sudo iptables -I INPUT 1 -p tcp --dport 3005 -j ACCEPT
  sudo iptables -I INPUT 1 -i lo -j ACCEPT
  sudo iptables -A INPUT -j DROP

Ausgehend darf nur noch

  • Mail zu meinem Mailserver
  • interner Verkehr auf localhost
  • DNS Abfragen
  • Antworten auf eingegangene Anfragen

passieren

  sudo iptables -I OUTPUT -d mail.hagen-bauer.de -p tcp --dport 25 -j ACCEPT
  sudo iptables -I OUTPUT -d mail.1bis3.de -p tcp --dport 25 -j ACCEPT
  sudo iptables -A OUTPUT -o lo -j ACCEPT
  sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
  sudo iptables -I OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
  sudo iptables -I OUTPUT -p udp --sport 1024:65535 --dport 67 -j ACCEPT
  sudo iptables -A OUTPUT -j DROP

Weitergeleitet wird garnichts

 iptables -P FORWARD DROP

Bisher kann ich keine Probleme feststellen