StratoPower-Server Firewall einrichten/konfig.
- Themenstarter bohlen
- Beginndatum
Dennis Wronka
Soulcollector
So, wie bereits angedroht, hier mein Firewall-Script.
Falls Du es nutzen willst musst Du es natuerlich noch ein wenig an Deine Gegebenheiten anpassen, z.B. den ganzen Quatsch von wegen -i ppp0 entfernen.
Weiterhin nutze ich vom Loggen den ULog-Daemon, der Vorteil dabei ist, dass Du nicht in's syslog loggst, sondern entweder in eine seperate Datei oder in eine MySQL-Datenbank.
Aber das Script soll Dir ja hauptsaechlich als Beispiel dienen.
Okay, here we go:
Jetzt zur Erklaerung, auf dem Server laufen ein HTTP-Server, ein FTP-Server, ein Mail-Server und ein MySQL-Server. Der MySQL-Server ist nicht von aussen erreichbar, das muss er auch nicht, da ja nur der HTTP-Server darauf zugreifen muss.
Gestartet wird das Script ueber den Parameter start, gestoppt ueber stop (wer haette das gedacht?
)
Weiterhin koennen auch einzelne Teile der Firewall deaktiviert werden. Ist in dieser Konstellation nicht wirklich sinnvoll, jedoch ist das Original-Script groesser. Das laeuft auf meinem Server back in Germany, dort wird zusaetzlich auch noch NAT gemacht und es gibt einen Abschnitt um VPN-Access erlauben und verbieten zu koennen.
Das Script ist so modular wie moeglich gehalten, sodass neue Funktionen, wie z.B. der angesprochene VPN-Access, ohne Probleme ohne Beeinflussung der eigentlich Firewall gestartet und gestoppt werden koennen.
Falls Module hinzugefuegt werden muessen diese die nach logging und vor firewall durchlaufen werden. Was erreicht wird indem diese in INPUT zwischen diese eingefuegt werden.
Der Grund dafuer ist, dass am Ende von firewall alles was nicht vorher akzeptiert wurde gedroppt wird.
Beispiel:
Dies fuegt die Chain vpn an Position 2 in die Chain INPUT ein. Position 1 hat logging, firewall wird dadurch von Position 2 auf 3 verschoben.
Voraussetzung, dass das alles in der Form funktioniert ist aktives Logging, also die Chain logging muss in der INPUT Chain sein, falls nicht muss an Position 1 eingefuegt werden.
In der Chain vpn wuerden dann die Ports und Protokolle fuer VPN-Access akzeptiert. Um das Beispiel zu Ende auszufuehren.
Geloescht wird diese dann mit folgender Zeile:
Du gibst hier also nicht die Position an an der geloescht werden soll, es koennten ja in der Zwischenzeit noch weitere Chains eingefuegt worden sein, sondern die Regel selbst. In diesem Fall ist das nur die Verzweigung in die Chain vpn, mittels -j vpn.
Ich bevorzuge es die eigentlichen Regeln in eigene Chains auszulagern, und in den Standard-Chains nur die Verzweigungen in meine Chains zu haben.
Das sorgt meiner Meinung nach fuer bessere Uebersicht und hoehere Flexibilitaet.
So, ich hoffe Du hast im Laufe dieses Threads ein wenig was ueber's Firewalling mit iptables gelernt.
Viel Erfolg beim Filtern.
Falls noch Fragen offen sind, immer her damit.
Falls Du es nutzen willst musst Du es natuerlich noch ein wenig an Deine Gegebenheiten anpassen, z.B. den ganzen Quatsch von wegen -i ppp0 entfernen.
Weiterhin nutze ich vom Loggen den ULog-Daemon, der Vorteil dabei ist, dass Du nicht in's syslog loggst, sondern entweder in eine seperate Datei oder in eine MySQL-Datenbank.
Aber das Script soll Dir ja hauptsaechlich als Beispiel dienen.
Okay, here we go:
Code:
case "$1" in
start)
$0 enablelogging
$0 enablefirewall
;;
stop)
$0 disablefirewall
$0 disablelogging
iptables -F
iptables -X
;;
enablelogging)
echo "Enabling Logging"
ulogd -d
iptables -N logging
iptables -A logging -i ppp0 -m state --state INVALID -j ULOG
iptables -I INPUT 1 -j logging
;;
disablelogging)
echo "Disabling Logging"
iptables -D INPUT -j logging
iptables -F logging
iptables -X logging
killall ulogd
;;
enablefirewall)
echo "Enabling Firewall"
iptables -N firewall
iptables -A firewall -m state --state INVALID -j DROP
iptables -A firewall -i ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A firewall -i ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A firewall -i ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A firewall -j DROP
iptables -A INPUT -j firewall
;;
disablefirewall)
echo "Disabling Firewall"
iptables -D INPUT -j firewall
iptables -F firewall
iptables -X firewall
;;
restart)
$0 stop && $0 start || return=$rc_failed
;;
*)
echo "Usage: $0 {start|stop||restart|enablelogging|disablelogging|enablefirewall|disablefirewall|}"
exit 1
;;
esacJetzt zur Erklaerung, auf dem Server laufen ein HTTP-Server, ein FTP-Server, ein Mail-Server und ein MySQL-Server. Der MySQL-Server ist nicht von aussen erreichbar, das muss er auch nicht, da ja nur der HTTP-Server darauf zugreifen muss.
Gestartet wird das Script ueber den Parameter start, gestoppt ueber stop (wer haette das gedacht?
)Weiterhin koennen auch einzelne Teile der Firewall deaktiviert werden. Ist in dieser Konstellation nicht wirklich sinnvoll, jedoch ist das Original-Script groesser. Das laeuft auf meinem Server back in Germany, dort wird zusaetzlich auch noch NAT gemacht und es gibt einen Abschnitt um VPN-Access erlauben und verbieten zu koennen.
Das Script ist so modular wie moeglich gehalten, sodass neue Funktionen, wie z.B. der angesprochene VPN-Access, ohne Probleme ohne Beeinflussung der eigentlich Firewall gestartet und gestoppt werden koennen.
Falls Module hinzugefuegt werden muessen diese die nach logging und vor firewall durchlaufen werden. Was erreicht wird indem diese in INPUT zwischen diese eingefuegt werden.
Der Grund dafuer ist, dass am Ende von firewall alles was nicht vorher akzeptiert wurde gedroppt wird.
Beispiel:
Code:
iptables -I INPUT 2 -j vpnVoraussetzung, dass das alles in der Form funktioniert ist aktives Logging, also die Chain logging muss in der INPUT Chain sein, falls nicht muss an Position 1 eingefuegt werden.
In der Chain vpn wuerden dann die Ports und Protokolle fuer VPN-Access akzeptiert. Um das Beispiel zu Ende auszufuehren.
Geloescht wird diese dann mit folgender Zeile:
Code:
iptables -D INPUT -j vpnIch bevorzuge es die eigentlichen Regeln in eigene Chains auszulagern, und in den Standard-Chains nur die Verzweigungen in meine Chains zu haben.
Das sorgt meiner Meinung nach fuer bessere Uebersicht und hoehere Flexibilitaet.
So, ich hoffe Du hast im Laufe dieses Threads ein wenig was ueber's Firewalling mit iptables gelernt.
Viel Erfolg beim Filtern.
Falls noch Fragen offen sind, immer her damit.
Zuletzt bearbeitet:
, da habe ich noch etwas vor mir. Ich habe mir das Buch bestellt! Ich werde damit jetzt experimentieren. Bis dahin habe ich etwas zu tun Hallo
Ich habe dein script noch mal überarbeitet und an meine Bedurfnisse angepasst.
Ich habe derzeit folgende Dienste laufen:
Port 22222 ist wichtig für "ViSAS" Zugrif von Aussen.
Anhand dieser Portsliste http://helpdesk.rus.uni-stuttgart.de/~rustomfi/Firewalls/Grundlagen/port-numbers.txt
habe ich die Ports eingestellt.
Und hier das Ergebniss:
Ich habe die Mysql nicht freigeschaltet aber als ich portscan gemacht (funktion in ViSAS Admin tool) habe, war das Port offen.
Wie kann ich mein Server scannen um zu sehen welche Ports noch offen sind?
Das Ergebnis von # iptables -L
Ist alles richtig? (sehe auch das vorletzte Kette, geht es um lokale Verbindungen die frei sind?)
Zum starten und stopen bin ich noch nicht reif genug. Ich würde gerne vielmehr erfahren wie ich mich gegen flood und ddos schutzen kann. Mein Beispiel zuvor war also unbrauchbar in meiner Konfiguration, wie kann ich diese scripte (oder andere gleiche Lösung) bei mir anwenden?
Jetzt als ich mich pit PuTTY anmelde, dauert es sehr lange bis ich Password eingeben kann.
Ich habe dein script noch mal überarbeitet und an meine Bedurfnisse angepasst.
Ich habe derzeit folgende Dienste laufen:
Code:
21 ftp File Transfer [Control]
22 ssh SSH Remote Login Protocol
25 smtp Simple Mail Transfer
53 domain Domain Name Server
80 www-http World Wide Web HTTP
110 pop3 Post Office Protocol - Version 3
111 sunrpc SUN Remote Procedure Call
443 https http protocol over TLS/SSL
783 spamd Spamassassin-Daemon
953 rndc BIND remote config
3306 mysql MysqlPort 22222 ist wichtig für "ViSAS" Zugrif von Aussen.
Anhand dieser Portsliste http://helpdesk.rus.uni-stuttgart.de/~rustomfi/Firewalls/Grundlagen/port-numbers.txt
habe ich die Ports eingestellt.
Und hier das Ergebniss:
Code:
iptables -N firewall
iptables -A firewall -m state --state INVALID -j DROP
iptables -A firewall -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 21 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 22 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 25 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 80 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 110 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 111 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 111 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A firewall -i eth0 -p udp --dport 443 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 783 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 953 -j ACCEPT
iptables -A firewall -i eth0 -p tcp --dport 22222 -j ACCEPT
iptables -A firewall -i lo -j ACCEPT
iptables -A firewall -j DROP
iptables -A INPUT -j firewallIch habe die Mysql nicht freigeschaltet aber als ich portscan gemacht (funktion in ViSAS Admin tool) habe, war das Port offen.
Wie kann ich mein Server scannen um zu sehen welche Ports noch offen sind?
Das Ergebnis von # iptables -L
Code:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
firewall all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain firewall (1 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT udp -- anywhere anywhere udp dpt:fsp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT udp -- anywhere anywhere udp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT udp -- anywhere anywhere udp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT udp -- anywhere anywhere udp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT udp -- anywhere anywhere udp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:sunrpc
ACCEPT udp -- anywhere anywhere udp dpt:sunrpc
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT udp -- anywhere anywhere udp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:783
ACCEPT tcp -- anywhere anywhere tcp dpt:953
ACCEPT tcp -- anywhere anywhere tcp dpt:22222
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhereIst alles richtig? (sehe auch das vorletzte Kette, geht es um lokale Verbindungen die frei sind?)
Zum starten und stopen bin ich noch nicht reif genug. Ich würde gerne vielmehr erfahren wie ich mich gegen flood und ddos schutzen kann. Mein Beispiel zuvor war also unbrauchbar in meiner Konfiguration, wie kann ich diese scripte (oder andere gleiche Lösung) bei mir anwenden?
Jetzt als ich mich pit PuTTY anmelde, dauert es sehr lange bis ich Password eingeben kann.
Zuletzt bearbeitet:
Dennis Wronka
Soulcollector
Das ist soweit in Ordnung, obwohl Du ein wenig uebertrieben hast.
Du brauchst nicht fuer jeden Dienst sowohl TCP als auch UDP oeffnen. In der Regel laeuft ein Dienst nur ueber TCP oder UDP. Die Dienste die Du nutzt duerften alle TCP sein.
Dass Visas alle Ports anzeigt liegt daran, dass es auf der zu scannenden Maschine laeuft und der Portscan somit wohl ueber Loopback laeuft. Da Du fuer -i lo alles ACCEPTest ist es kein Wunder, dass Du dort auch MySQL offen siehst.
Am besten laedst Du Dir mal den nmap (gibt's sogar fuer Windows) runter und scannst von daheim.
Dass SSH so lange braucht kann ich mir im Moment nur damit erklaeren, dass es vielleicht vor der eigentlichen Verbindung eine Art Ping-Test durchfuehrt. Da ICMP geblockt ist kommt natuerlich kein Paket zurueck und somit wartet PuTTY bis zum TimeOut.
Mehr Infos ueber Deine Chains bekommst Du mit iptables -L -v.
Da siehst Du dann auch die Interfaces.
Du brauchst nicht fuer jeden Dienst sowohl TCP als auch UDP oeffnen. In der Regel laeuft ein Dienst nur ueber TCP oder UDP. Die Dienste die Du nutzt duerften alle TCP sein.
Dass Visas alle Ports anzeigt liegt daran, dass es auf der zu scannenden Maschine laeuft und der Portscan somit wohl ueber Loopback laeuft. Da Du fuer -i lo alles ACCEPTest ist es kein Wunder, dass Du dort auch MySQL offen siehst.
Am besten laedst Du Dir mal den nmap (gibt's sogar fuer Windows) runter und scannst von daheim.
Dass SSH so lange braucht kann ich mir im Moment nur damit erklaeren, dass es vielleicht vor der eigentlichen Verbindung eine Art Ping-Test durchfuehrt. Da ICMP geblockt ist kommt natuerlich kein Paket zurueck und somit wartet PuTTY bis zum TimeOut.
Mehr Infos ueber Deine Chains bekommst Du mit iptables -L -v.
Da siehst Du dann auch die Interfaces.
Hallo Reptiler
Wie bekomme ich wieder die ICMP für PuTTY frei?
Ich kann sich auch nicht mehr mit dem WinSCP3 einlogen
nmap geht bei mir, ich habe WinXP Pro SP2 und da öffnet sich das Fenster nicht
Morgen geht meine Webseite Online, ich möchte bis dan wenigstens den Firewall hinbekommen. Ich kann jetzt nichts mehr uploaden auf den Server.
Ich werde die UDP später entfernen.
Schönen Gruß
Bohlen
Wie bekomme ich wieder die ICMP für PuTTY frei?
Ich kann sich auch nicht mehr mit dem WinSCP3 einlogen
nmap geht bei mir, ich habe WinXP Pro SP2 und da öffnet sich das Fenster nicht
Morgen geht meine Webseite Online, ich möchte bis dan wenigstens den Firewall hinbekommen. Ich kann jetzt nichts mehr uploaden auf den Server.
Ich werde die UDP später entfernen.
Schönen Gruß
Bohlen
Code:
# iptables -L -v
Chain INPUT (policy ACCEPT 40641 packets, 2093K bytes)
pkts bytes target prot opt in out source destination
5148 1537K firewall all -- any any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 81245 packets, 4243K bytes)
pkts bytes target prot opt in out source destination
Chain firewall (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:ftp
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:fsp
221 20947 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:ssh
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:ssh
15 624 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:smtp
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:smtp
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:domain
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:http
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:http
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:pop3
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:sunrpc
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:sunrpc
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:https
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:783
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:953
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:22222
0 0 ACCEPT all -- lo any anywhere anywhere
4912 1515K DROP all -- any any anywhere anywhere
Zuletzt bearbeitet:
Dennis Wronka
Soulcollector
Hallo Bohlen,
also mal weiter im Text
Alle folgenden Script-Zeilen musst Du vor
einfuegen. Ansonsten bringen die nichts, da diese Regel ja alles DROPt.
Um ICMP wieder zuzulassen fuegst Du diese Zeile ein:
Das kann man auch noch genauer spezifizieren, sodass nur der Ping (echo-request) reindarf, jedoch hab ich den Parameter dafuer nicht im Kopf.
Welche Zeile Du sinnvollerweise fuer FTP noch mit eintragen kannst waere:
Was genau machst Du mit WinSCP3? Hab grad mal auf die Website geguckt und da steht was von wegen Secure File Transfer. Jedoch ist die Abkuerzung falsch. SFTP steht fuer Simple File Transfer Protocol
FTPS hingegen steht fuer ftp protocol over TLS/SSL, also das was eigentlich der Secure File Transfer sein duerfte.
Weiterhin steht auf dem Screenshot von WinSCP was von Port 22, das waere SSH.
Wie es aussieht scheint WinSCP ueber SSH zu arbeiten.
Es kann natuerlich sein, dass auch diese Programm erstmal einen Ping sendet um zu gucken ob der Host wach ist. Und wenn nichts zurueckkommt meldet "Geht nicht"
Oder aber die Daten-Verbindung konnte bislang nicht aufgebaut werden, was durch die Zeile mit dem RELATED behoben sein sollte.
Also probier erstmal diese beiden Sachen bevor Du weitere Schritte ergreifst.
Falls es dann also immer noch nicht geht wirst Du mal schauen muessen ob vielleicht ein FTPS-Server auf dem System laeuft mit dem WinSCP vielleicht connecten will.
Diesen solltest Du auf TCP-Port 990 finden.
Der nmap hat auch unter Windows kein Fenster, den musst Du in der Shell (also ueber cmd) ausfuehren. Da im Moment ICMP noch geblockt wird brauchst Du auch noch den Parameter -P0
Der teilt nmap mit, dass vor dem Scan kein Ping gesendet werden soll um zu testen ob der Host wach ist.
So, das war der naechste Teil unserer Workshops: Wie basteln wir unsere Firewall
Viel Erfolg weiterhin.
also mal weiter im Text
Alle folgenden Script-Zeilen musst Du vor
Code:
iptables -A firewall -j DROPUm ICMP wieder zuzulassen fuegst Du diese Zeile ein:
Code:
iptables -A firewall -p icmp -j ACCEPTWelche Zeile Du sinnvollerweise fuer FTP noch mit eintragen kannst waere:
Code:
iptables -A firewall -m state --state RELATED -j ACCEPTWas genau machst Du mit WinSCP3? Hab grad mal auf die Website geguckt und da steht was von wegen Secure File Transfer. Jedoch ist die Abkuerzung falsch. SFTP steht fuer Simple File Transfer Protocol
FTPS hingegen steht fuer ftp protocol over TLS/SSL, also das was eigentlich der Secure File Transfer sein duerfte.
Weiterhin steht auf dem Screenshot von WinSCP was von Port 22, das waere SSH.
Wie es aussieht scheint WinSCP ueber SSH zu arbeiten.
Es kann natuerlich sein, dass auch diese Programm erstmal einen Ping sendet um zu gucken ob der Host wach ist. Und wenn nichts zurueckkommt meldet "Geht nicht"
Oder aber die Daten-Verbindung konnte bislang nicht aufgebaut werden, was durch die Zeile mit dem RELATED behoben sein sollte.
Also probier erstmal diese beiden Sachen bevor Du weitere Schritte ergreifst.
Falls es dann also immer noch nicht geht wirst Du mal schauen muessen ob vielleicht ein FTPS-Server auf dem System laeuft mit dem WinSCP vielleicht connecten will.
Diesen solltest Du auf TCP-Port 990 finden.
Der nmap hat auch unter Windows kein Fenster, den musst Du in der Shell (also ueber cmd) ausfuehren. Da im Moment ICMP noch geblockt wird brauchst Du auch noch den Parameter -P0
Der teilt nmap mit, dass vor dem Scan kein Ping gesendet werden soll um zu testen ob der Host wach ist.
So, das war der naechste Teil unserer Workshops: Wie basteln wir unsere Firewall
Viel Erfolg weiterhin.
Dennis Wronka
Soulcollector
Wenn eine Regel auf ein Paket zutrifft wird es aus der Chain geworfen und durchlaeuft sie nicht bis zum Ende. Das gilt fuer nahezu alle Targets (also ACCEPT, DROP, etc.). Es gibt jedoch ein paar Ausnahmen wie zum Beispiel LOG und ULOG.
Bei den "normalen" Target ACCEPT, DROP und REJECT wird das Paket aber aus der Chain genommen und der Regel entsprechend verarbeitet.
Bei den "normalen" Target ACCEPT, DROP und REJECT wird das Paket aber aus der Chain genommen und der Regel entsprechend verarbeitet.
Soweit einiges verstanden, von Tag zur Tag wird alles klarer
Nun weitere Frage zur Ports, kann ich ohne weiteres die Ports: 111, 953 sperren?
Brauche ich die zur meinen Server?
Bei dieser Konfiguration mit "firewall" habe da noch Frage, ich verstehe daß als aller erste die Ketten der firewall nach der Reihenfolge bearbeitet werden, danach werden die Packete in INPUT weitergeleitet. Wen ich aber noch in INPUT einige Regeln habe, ist das Eintrag iptables -A INPUT -j firewall richtig?
http://winscp.sourceforge.net/eng/docs/introduction
Nun weitere Frage zur Ports, kann ich ohne weiteres die Ports: 111, 953 sperren?
Brauche ich die zur meinen Server?
Bei dieser Konfiguration mit "firewall" habe da noch Frage, ich verstehe daß als aller erste die Ketten der firewall nach der Reihenfolge bearbeitet werden, danach werden die Packete in INPUT weitergeleitet. Wen ich aber noch in INPUT einige Regeln habe, ist das Eintrag iptables -A INPUT -j firewall richtig?
Hier
http://winscp.sourceforge.net/eng/docs/introduction
Zuletzt bearbeitet:
