Hetzner - DokuWiki

Security Firewall

Inhaltsverzeichnis

Konfigurationshilfen

Falls eine Firewall trotz allem notwendig ist helfen folgende Links bei der Konfiguration:


Tips und Tricks

Automatischer Fallback

Um sich beim Aktivieren der Firewall mit fehlerhaften Einstellungen nicht auszusperren, empfiehlt sich ein "automatischer Fallback": (von Brain aus dem Forum) 

  ./firewall start&&sleep 60&&./firewall stop

Dadurch wird die Firewall erstmal nur für 60 Sekunden gestartet und man kann das ganze mal testen.

Falls bereits eine IPTables-Konfiguration besteht: (von Fronti aus dem Forum)

  iptables-save > /tmp/savediptables

und dann mit

  at now + 5min
  iptables-restore < /tmp/savediptables
  
  <Strg>+<D>

Dies sichert die IP-Tables-Konfiguration und stellt die Originalkonfiguration nach 5 Minuten wieder her.

Sperren einer einzelnen "bösen" IP-Adresse bzw. eines Netzblocks

per iptables-Filter lässt sich leicht eine einzelne IP-Adresse blocken: von Nick und Deltaflyer aus dem Forum

  iptables -I INPUT -s böse_IP -j DROP

Es kann auch ein ganzer IP-Adressbereich geblockt werden, z.B.

  iptables -I INPUT -s 213.133.99.0/24 -j DROP

Das Blockieren macht bei dynamischen Einwahl-IP's des Angreifers/Störers natürlich wenig Sinn.

Auflisten von IP-Adressen von SSH-Scans

Wie man (bei Debian) herausbekommt, welche IPs es wie oft versucht haben, mit welchen Benutzernamen per ssh reinzukommen: 

  #!/bin/bash
  # Erst mal das Datum wegschneiden, da dort zwei blanks sein koennen
  grep Illegal | cut -b8-99 >tmp1
  echo "Probierte Usernamen:"
  cat tmp1 | cut -d' ' -f6 | sort | uniq -c | sort -n
  echo "IPs:"
  cat tmp1 | cut -d' ' -f8 | sort | uniq -c | sort -n
  echo "Ende"

Die obigen Zeilen einfach in eine Datei schreiben ("checklogs"?) und mit chmod +x checklogs ausführbar machen. Dann die Logs drüberlaufen lassen: 

  cat /var/log/auth.log | ./checklogs
Von „http://wiki.hetzner.de/index.php/Security_Firewall


© 2012. Hetzner Online AG. Alle Rechte vorbehalten.