Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall (iptables) blockiert trotz Freigabe von HTTP den Port 80 sporadisch

Frage Sicherheit Firewall

Mitglied: elradko

elradko (Level 1) - Jetzt verbinden

26.10.2012, aktualisiert 11:32 Uhr, 5606 Aufrufe, 15 Kommentare, 1 Danke

Server: ubuntu 10.04 LTS
Firewall: iptables
GUI: fwbuilder

Hallo Zusammen,

seltsames Phänomen:

Ich habe mehrere Server, die Identisch konfiguriert sind. Auf allen kann ich beobachten, dass trotz Freigabe des Dienstes HTTP(port 80, TCP) für alle IP's, sporadisch IPs geblockt werden und mit DENY in der Log landen.

Ein trace mit wireshark brachte bisher kein Ergebnis.

An welcher Stelle macht es Sinn anzufangen zu suchen ?

Grüße
Mitglied: Luie86
26.10.2012 um 11:42 Uhr
Hallo,

hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.

Gruß Daniel
Bitte warten ..
Mitglied: Lochkartenstanzer
26.10.2012 um 12:15 Uhr
Zitat von Luie86:
Hallo,

hast du vielleicht fail2ban o.a. laufen?
Ansonsten wäre es sinnvoll mal deine tables hier zu posten.


ggf noch logs schreiben, wenn Port 80 geblockt wird.

lks
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 12:26 Uhr
Hallo,

Sporadisch? Eine Firewall Regel wird immer gleich abgearbeitet, egal wann.
Gibt es Gemeinsamkeiten bei den geblockten Anfragen?

Sonst wie meine Vorredner schon sagtem poste doch mal dein IPTables Script.

Gruß
Bitte warten ..
Mitglied: elradko
26.10.2012 um 13:13 Uhr
Danke für Eure Antworten.

IPtables Script, das wird von fwbuilder erstellt.
Würde auch die Ausgabe von iptables -L reichen ?

Grüße
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 13:21 Uhr
Hallo,

Zitat von elradko:
IPtables Script, das wird von fwbuilder erstellt.
Ich halte von den Frontends für diese ganzen Dingen nicht wirklich was, also empfehle ich dir dieses Buch für Iptables.
http://www.addison-wesley.de/main/main.asp?page=deutsch/bookdetails& ...
Vl. erstellst du ja irgendwann deine Firewall selbst.

Würde auch die Ausgabe von iptables -L reichen ?
Ja besser wie hier herumraten.

Und Fail2Ban nutzt du definitiv nicht?

Gruß
Bitte warten ..
Mitglied: elradko
26.10.2012, aktualisiert um 15:08 Uhr
Hallo Hitman4021,

nein wir benutzen kein fail2ban, habe es gerade gecheckt.

Hier die Ausgabe von iptables -L -> habe die IPs geändert
01.
Chain INPUT (policy DROP) 
02.
target     prot opt source               destination          
03.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
04.
Cid20641X25196.0  all  --  server1  anywhere             
05.
Cid20641X25196.0  all  --  localhost.localdomain  anywhere             
06.
ACCEPT     all  --  anywhere             anywhere             
07.
ACCEPT     all  --  IPs intern        anywhere            state NEW  
08.
Cid21045X25196.0  tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW  
09.
ACCEPT     tcp  --  anywhere             anywhere            tcp multiport dports 54321,www,https state NEW  
10.
ACCEPT     icmp --  PROVIDER      anywhere            icmp type 8 code 0 state NEW  
11.
In_RULE_7  all  --  anywhere             anywhere             
12.
 
13.
Chain FORWARD (policy DROP) 
14.
target     prot opt source               destination          
15.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
16.
In_RULE_7  all  --  anywhere             anywhere             
17.
 
18.
Chain OUTPUT (policy DROP) 
19.
target     prot opt source               destination          
20.
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
21.
ACCEPT     all  --  anywhere             anywhere             
22.
ACCEPT     all  --  anywhere             anywhere            state NEW  
23.
 
24.
Chain Cid20641X25196.0 (2 references) 
25.
target     prot opt source               destination          
26.
DROP       all  --  anywhere             server1  
27.
DROP       all  --  anywhere             localhost.localdomain  
28.
 
29.
Chain Cid21045X25196.0 (1 references) 
30.
target     prot opt source               destination          
31.
In_RULE_3  all  --  IP 2         anywhere             
32.
In_RULE_3  all  --  IP 3  anywhere             
33.
 
34.
Chain In_RULE_3 (2 references) 
35.
target     prot opt source               destination          
36.
LOG        all  --  anywhere             anywhere            LOG level info prefix `RULE 3 -- ACCEPT '  
37.
ACCEPT     all  --  anywhere             anywhere             
38.
 
39.
Chain In_RULE_7 (2 references) 
40.
target     prot opt source               destination          
41.
LOG        all  --  anywhere             anywhere            LOG level info prefix `RULE 7 -- DENY '  
42.
DROP       all  --  anywhere             anywhere    

Es schlägt also ab und zu "RULE 7" an.

Auzug aus syslog:
01.
Oct 26 14:32:17 server kernel: [6329164.066004] RULE 7 -- DENY IN=eth0 OUT= MAC=00:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:00 SRC=ZZZ.ZZZ.ZZZ.zzz DST=XXX.XXX.xxx.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=13373 DF PROTO=TCP SPT=51826 DPT=80 WINDOW=16329 RES=0x00 ACK FIN URGP=0
Bitte warten ..
Mitglied: Hitman4021
26.10.2012, aktualisiert um 15:05 Uhr
Hi,

bitte benutz die < code> < /code> Tags, ohne Leerzeichen.

Erstell mal eine Regel:
01.
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
und das vor deiner Regel
01.
ACCEPT tcp -- anywhere anywhere tcp multiport dports 54321,www,https state NEW
und für Output würde eigentlich
01.
iptables -A OUTPUT -j ACCEPT
reichen.

Und für was braucht du die Forward Chains?
01.
iptables -P FORWARD DROP
und gut ist.

Gruß
Bitte warten ..
Mitglied: Hitman4021
26.10.2012, aktualisiert um 15:22 Uhr
Hallo,

oder du packst das in ein Shell Script und vergisst die GUI. Einfach ausführen und Firewall ist aktiv.
01.
#!/bin/bash 
02.
#Beginn der Definitionen 
03.
 
04.
IPTABLES=´which iptables´	#Pfad zu den Iptables 
05.
DEV="eth0"					#Netzwerkkarte 
06.
ADMIN_IP=""					#Admin IP eintragen!! 
07.
 
08.
################################### 
09.
## 
10.
##	Ports 
11.
## 
12.
################################### 
13.
 
14.
HTTP="80"			#HTTP Port 
15.
HTTPS="443"			#HTTPS Port 
16.
SSH="22"                        #SSH PORT 
17.
 
18.
#################################### 
19.
## 
20.
## Leere die Ketten  
21.
## 
22.
#################################### 
23.
 
24.
$IPTABLES -F 
25.
 
26.
#################################### 
27.
## 
28.
##	Sperre Alles bis auf Output 
29.
## 
30.
#################################### 
31.
 
32.
$IPTABLES -P INPUT DROP 
33.
$IPTABLES -P OUTPUT ACCEPT 
34.
$IPTABLES -P FORWARD DROP 
35.
 
36.
##################################### 
37.
## 
38.
## Beginn der Regeln 
39.
## 
40.
##################################### 
41.
 
42.
#Erlaube Bereits aufgebaute Verbindungen 
43.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
44.
 
45.
#Erlaube HTTP von überall 
46.
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTP -m state --state NEW -j ACCEPT 
47.
 
48.
#Erlaube HTTPS von überall 
49.
$IPTABLES -A INPUT -i $DEV -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT 
50.
 
51.
#Erlaube SSH von Admin_IP 
52.
$IPTABLES -A INPUT -i $DEV -s $ADMIN_IP -p tcp --dport $SSH -m state --state NEW -j ACCEPT 
53.
 
54.
#Erlaube Ping von überall 
55.
$IPTABLES -A INPUT -p icmp --icmp-type ping -j ACCEPT
zum deaktivieren der Firewall führst du das aus.
01.
#!/bin/bash 
02.
#Beginn der Definitionen 
03.
 
04.
IPTABLES=´which iptables´	#Pfad zu den Iptables 
05.
#################################### 
06.
## 
07.
## Leere die Ketten  
08.
## 
09.
#################################### 
10.
 
11.
$IPTABLES -F 
12.
 
13.
#################################### 
14.
## 
15.
##	Erlaube alles 
16.
## 
17.
#################################### 
18.
 
19.
$IPTABLES -P INPUT ACCEPT 
20.
$IPTABLES -P OUTPUT ACCEPT 
21.
$IPTABLES -P FORWARD ACCEPT
Gruß
Bitte warten ..
Mitglied: elradko
26.10.2012 um 15:32 Uhr
Hallo,

danke, bin aber auf fwbuilder angewiesen, da auch andere einen Blick darauf werfen.

Einen Tipp, wie ich es anpassen könnte ?

Ich habe die Regel als einzelne Regel mit fwbuilder eingefügt und das gleiche Ergebnis:

ca 20 % der Zugriffe auf Port 80 werden verboten.

Ich bin nicht so frei im probieren, da der Server live ist.

Grüße
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 15:35 Uhr
Hallo,

dann füg die Regel mal ganz oben ein.
Dann muss er sie annehmen.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
26.10.2012 um 16:28 Uhr
moin

Zum Thema fwbuilder:

Wenn man eine Umgebung hat, in der auch Leute, die sich ncith mit iptables auskenne Regel ein- oder auscschalten können sollen, ist fwbuilde rgar nciht so scheclt. Ist relativ einfach zu bedienen und macht normalerweise auch ordentliche Skripten, wenn auch nciht so schön wie "handgeschnitztes".

@TO:

Du kannst in fwbuidler logs einschalten udn siehts dann im syslog, welche Regeln für den drop verantwortlich sind. dann kanst Du näher nachforschen.

lks

PS: Es pfuscht aber außer fwbuilder kein weiterer in den iptables rum, oder?
Bitte warten ..
Mitglied: elradko
26.10.2012, aktualisiert um 16:36 Uhr
Hallo,

nun fwbuilder stellt mit diesem Aufruf die Regel zusammen:
01.
 $IPTABLES -A INPUT -i eth0  -p tcp -m tcp  -m multiport  --dports XXXX,80,443  -m state --state NEW  -j ACCEPT
Grüße
Bitte warten ..
Mitglied: Hitman4021
26.10.2012 um 16:38 Uhr
Hallo,

wenn die noch an der richtigen Position steht sollte es funtioniern.
Ist diese nun bei iptables -L ganz oben?

Gruß
Bitte warten ..
Mitglied: elradko
30.10.2012 um 14:36 Uhr
Nun es wird nur über fwbuilder die iptables gesetzt. Die Regel weiß ich schon welche blockiert, das ist die letzte Regel. Die alles verbieten soll was nicht frei gegeben wurde.
Bitte warten ..
Mitglied: Hitman4021
30.10.2012 um 14:48 Uhr
Hallo,

du brauchst keine Regel die alles blockt. Für das hast du ja die Default Policy.
Iptables werden von oben nach unten abgearbeitet, das heist wenn eine Regel matcht werden die danach ignoriert.
Also wenn deine Allow Regel an erster Stelle ist, kommt er nie zur zweiten Stelle.

Immer Reihenfolge beachten.

Gruß
Bitte warten ..
Ähnliche Inhalte
Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Firewall
Welche Firewall blockiert?
gelöst Frage von mupan7Firewall12 Kommentare

Mit Hilfe von TCPview habe ich den Port herausbekommen, den der MS-Dynamics-NAV-2009-R2-Client ansprechen will. Mit Hilfe von nmap wollte ...

Firewall
2x Port forwarding auf Port 80
gelöst Frage von letstryandfindoutFirewall7 Kommentare

Hallo zusammen, ich habe eine m0n0wall am laufen bei der ich HTTP und HTTPS auf eine IP durchgeschleift habte. ...

Linux Netzwerk
IPtables GeoIp Firewall und Weiterleitung
gelöst Frage von simi123Linux Netzwerk4 Kommentare

Hallo, Ich probiere schon länger herum. Ich möchte eine "Firewall" mit IPtables realisieren, die per GeoIp alle Länder außer ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 4 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 8 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 8 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 11 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...