Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall (iptables) blockiert trotz Freigabe von HTTP den Port 80 sporadisch

Frage Sicherheit Firewall

Mitglied: elradko

elradko (Level 1) - Jetzt verbinden

26.10.2012, aktualisiert 11:32 Uhr, 5201 Aufrufe, 15 Kommentare, 1 Danke

Server: ubuntu 10.04 LTS
Firewall: iptables
GUI: fwbuilder

Hallo Zusammen,

seltsames Phänomen:

Ich habe mehrere Server, die Identisch konfiguriert sind. Auf allen kann ich beobachten, dass trotz Freigabe des Dienstes HTTP(port 80, TCP) für alle IP's, sporadisch IPs geblockt werden und mit DENY in der Log landen.

Ein trace mit wireshark brachte bisher kein Ergebnis.

An welcher Stelle macht es Sinn anzufangen zu suchen ?

Grüße
Mitglied: Luie86
26.10.2012 um 11:42 Uhr
Hallo,

hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.

Gruß Daniel
Bitte warten ..
Mitglied: Lochkartenstanzer
26.10.2012 um 12:15 Uhr
Zitat von Luie86:
Hallo,

hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.


ggf noch logs schreiben, wenn Port 80 geblockt wird.

lks
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 12:26 Uhr
Hallo,

Sporadisch? Eine Firewall Regel wird immer gleich abgearbeitet, egal wann.
Gibt es Gemeinsamkeiten bei den geblockten Anfragen?

Sonst wie meine Vorredner schon sagtem poste doch mal dein IPTables Script.

Gruß
Bitte warten ..
Mitglied: elradko
26.10.2012 um 13:13 Uhr
Danke für Eure Antworten.

IPtables Script, das wird von fwbuilder erstellt.
Würde auch die Ausgabe von iptables -L reichen ?

Grüße
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 13:21 Uhr
Hallo,

Zitat von elradko:
IPtables Script, das wird von fwbuilder erstellt.
Ich halte von den Frontends für diese ganzen Dingen nicht wirklich was, also empfehle ich dir dieses Buch für Iptables.
http://www.addison-wesley.de/main/main.asp?page=deutsch/bookdetails& ...
Vl. erstellst du ja irgendwann deine Firewall selbst.

Würde auch die Ausgabe von iptables -L reichen ?
Ja besser wie hier herumraten.

Und Fail2Ban nutzt du definitiv nicht?

Gruß
Bitte warten ..
Mitglied: elradko
26.10.2012, aktualisiert um 15:08 Uhr
Hallo Hitman4021,

nein wir benutzen kein fail2ban, habe es gerade gecheckt.

Hier die Ausgabe von iptables -L -> habe die IPs geändert
01.
Chain INPUT (policy DROP) 
02.
target     prot opt source               destination          
03.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
04.
Cid20641X25196.0  all  --  server1  anywhere             
05.
Cid20641X25196.0  all  --  localhost.localdomain  anywhere             
06.
ACCEPT     all  --  anywhere             anywhere             
07.
ACCEPT     all  --  IPs intern        anywhere            state NEW  
08.
Cid21045X25196.0  tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW  
09.
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport dports 54321,www,https state NEW  
10.
ACCEPT     icmp --  PROVIDER      anywhere            icmp type 8 code 0 state NEW  
11.
In_RULE_7  all  --  anywhere             anywhere             
12.
 
13.
Chain FORWARD (policy DROP) 
14.
target     prot opt source               destination          
15.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
16.
In_RULE_7  all  --  anywhere             anywhere             
17.
 
18.
Chain OUTPUT (policy DROP) 
19.
target     prot opt source               destination          
20.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
21.
ACCEPT     all  --  anywhere             anywhere             
22.
ACCEPT     all  --  anywhere             anywhere            state NEW  
23.
 
24.
Chain Cid20641X25196.0 (2 references) 
25.
target     prot opt source               destination          
26.
DROP       all  --  anywhere             server1  
27.
DROP       all  --  anywhere             localhost.localdomain  
28.
 
29.
Chain Cid21045X25196.0 (1 references) 
30.
target     prot opt source               destination          
31.
In_RULE_3  all  --  IP 2         anywhere             
32.
In_RULE_3  all  --  IP 3  anywhere             
33.
 
34.
Chain In_RULE_3 (2 references) 
35.
target     prot opt source               destination          
36.
LOG        all  --  anywhere             anywhere            LOG level info prefix `RULE 3 -- ACCEPT '  
37.
ACCEPT     all  --  anywhere             anywhere             
38.
 
39.
Chain In_RULE_7 (2 references) 
40.
target     prot opt source               destination          
41.
LOG        all  --  anywhere             anywhere            LOG level info prefix `RULE 7 -- DENY '  
42.
DROP       all  --  anywhere             anywhere    

Es schlägt also ab und zu "RULE 7" an.

Auzug aus syslog:
01.
Oct 26 14:32:17 server kernel: [6329164.066004] RULE 7 -- DENY IN=eth0 OUT= MAC=00:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:00 SRC=ZZZ.ZZZ.ZZZ.zzz DST=XXX.XXX.xxx.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=13373 DF PROTO=TCP SPT=51826 DPT=80 WINDOW=16329 RES=0x00 ACK FIN URGP=0
Bitte warten ..
Mitglied: Hitman4021
26.10.2012, aktualisiert um 15:05 Uhr
Hi,

bitte benutz die < code> < /code> Tags, ohne Leerzeichen.

Erstell mal eine Regel:
01.
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
und das vor deiner Regel
01.
ACCEPT tcp -- anywhere anywhere tcp multiport dports 54321,www,https state NEW
und für Output würde eigentlich
01.
iptables -A OUTPUT -j ACCEPT
reichen.

Und für was braucht du die Forward Chains?
01.
iptables -P FORWARD DROP
und gut ist.

Gruß
Bitte warten ..
Mitglied: Hitman4021
26.10.2012, aktualisiert um 15:22 Uhr
Hallo,

oder du packst das in ein Shell Script und vergisst die GUI. Einfach ausführen und Firewall ist aktiv.
01.
#!/bin/bash 
02.
#Beginn der Definitionen 
03.
 
04.
IPTABLES=´which iptables´	#Pfad zu den Iptables 
05.
DEV="eth0"					#Netzwerkkarte 
06.
ADMIN_IP=""					#Admin IP eintragen!! 
07.
 
08.
################################### 
09.
## 
10.
##	Ports 
11.
## 
12.
################################### 
13.
 
14.
HTTP="80"			#HTTP Port 
15.
HTTPS="443"			#HTTPS Port 
16.
SSH="22"                        #SSH PORT 
17.
 
18.
#################################### 
19.
## 
20.
## Leere die Ketten  
21.
## 
22.
#################################### 
23.
 
24.
$IPTABLES -F 
25.
 
26.
#################################### 
27.
## 
28.
##	Sperre Alles bis auf Output 
29.
## 
30.
#################################### 
31.
 
32.
$IPTABLES -P INPUT DROP 
33.
$IPTABLES -P OUTPUT ACCEPT 
34.
$IPTABLES -P FORWARD DROP 
35.
 
36.
##################################### 
37.
## 
38.
## Beginn der Regeln 
39.
## 
40.
##################################### 
41.
 
42.
#Erlaube Bereits aufgebaute Verbindungen 
43.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
44.
 
45.
#Erlaube HTTP von überall 
46.
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTP -m state --state NEW -j ACCEPT 
47.
 
48.
#Erlaube HTTPS von überall 
49.
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT 
50.
 
51.
#Erlaube SSH von Admin_IP 
52.
$IPTABLES -A INPUT -i $DEV -s $ADMIN_IP -p tcp --dport $SSH -m state --state NEW -j ACCEPT 
53.
 
54.
#Erlaube Ping von überall 
55.
$IPTABLES -A INPUT -p icmp --icmp-type ping -j ACCEPT
zum deaktivieren der Firewall führst du das aus.
01.
#!/bin/bash 
02.
#Beginn der Definitionen 
03.
 
04.
IPTABLES=´which iptables´	#Pfad zu den Iptables 
05.
#################################### 
06.
## 
07.
## Leere die Ketten  
08.
## 
09.
#################################### 
10.
 
11.
$IPTABLES -F 
12.
 
13.
#################################### 
14.
## 
15.
##	Erlaube alles 
16.
## 
17.
#################################### 
18.
 
19.
$IPTABLES -P INPUT ACCEPT 
20.
$IPTABLES -P OUTPUT ACCEPT 
21.
$IPTABLES -P FORWARD ACCEPT
Gruß
Bitte warten ..
Mitglied: elradko
26.10.2012 um 15:32 Uhr
Hallo,

danke, bin aber auf fwbuilder angewiesen, da auch andere einen Blick darauf werfen.

Einen Tipp, wie ich es anpassen könnte ?

Ich habe die Regel als einzelne Regel mit fwbuilder eingefügt und das gleiche Ergebnis:

ca 20 % der Zugriffe auf Port 80 werden verboten.

Ich bin nicht so frei im probieren, da der Server live ist.

Grüße
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 15:35 Uhr
Hallo,

dann füg die Regel mal ganz oben ein.
Dann muss er sie annehmen.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
26.10.2012 um 16:28 Uhr
moin

Zum Thema fwbuilder:

Wenn man eine Umgebung hat, in der auch Leute, die sich ncith mit iptables auskenne Regel ein- oder auscschalten können sollen, ist fwbuilde rgar nciht so scheclt. Ist relativ einfach zu bedienen und macht normalerweise auch ordentliche Skripten, wenn auch nciht so schön wie "handgeschnitztes".

@TO:

Du kannst in fwbuidler logs einschalten udn siehts dann im syslog, welche Regeln für den drop verantwortlich sind. dann kanst Du näher nachforschen.

lks

PS: Es pfuscht aber außer fwbuilder kein weiterer in den iptables rum, oder?
Bitte warten ..
Mitglied: elradko
26.10.2012, aktualisiert um 16:36 Uhr
Hallo,

nun fwbuilder stellt mit diesem Aufruf die Regel zusammen:
01.
 $IPTABLES -A INPUT -i eth0  -p tcp -m tcp  -m multiport  --dports XXXX,80,443  -m state --state NEW  -j ACCEPT
Grüße
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 16:38 Uhr
Hallo,

wenn die noch an der richtigen Position steht sollte es funtioniern.
Ist diese nun bei iptables -L ganz oben?

Gruß
Bitte warten ..
Mitglied: elradko
30.10.2012 um 14:36 Uhr
Nun es wird nur über fwbuilder die iptables gesetzt. Die Regel weiß ich schon welche blockiert, das ist die letzte Regel. Die alles verbieten soll was nicht frei gegeben wurde.
Bitte warten ..
Mitglied: Hitman4021
30.10.2012 um 14:48 Uhr
Hallo,

du brauchst keine Regel die alles blockt. Für das hast du ja die Default Policy.
Iptables werden von oben nach unten abgearbeitet, das heist wenn eine Regel matcht werden die danach ignoriert.
Also wenn deine Allow Regel an erster Stelle ist, kommt er nie zur zweiten Stelle.

Immer Reihenfolge beachten.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Debian
gelöst SSH über Webinterface Port 80 u. 443 (17)

Frage von Moddry zum Thema Debian ...

Netzwerke
gelöst IPv6 Port Freigabe mit IPv6 Tunnel (3)

Frage von danielr1996 zum Thema Netzwerke ...

Netzwerke
gelöst FritzBox Port Freigabe mit 2 Routern bzw Doppel Nat (15)

Frage von danielr1996 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...