Seltsames Problem mit meiner Firewall

This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

  • Seltsames Problem mit meiner Firewall

    Hi, ich betreibe ein Server mit Linux Lenny.

    In den letzten 3 Jahren habe ich mich hier gut hinein gearbeitet, so das ich zwar kein Profi bin, aber mich doch schon recht gut auskenne. Diese Woche ist mir was komisches Passiert und kann es mir nicht ganz erklären.

    Für meine Arbeiten benutze ich das Terminal Putty und nebenbei auch das Webmin, da hier einiges auch einfacher und schneller zu finden ist. Klar mir ist der Ruf von Webmin bekannt und möchte hierzu eigentlich nicht näher eingehen.

    Diese Woche hatte ich ein Problem mit meinem Netzwerk, das beim neustart Fehler ausgegeben wurden. Aber das Netzwerk trotzdem lief.
    Ein Fehler davon war:

    Source Code

    1. "waiting for interface eth0:1 before doing NFS mounts (warning)."
    2. "waiting for interface eth0:2 before doing NFS mounts (warning)."

    Das konnte ich mit diesem Befehl beheben:

    Source Code

    1. chmod a-x /etc/network/if-up.d/mountnfs

    Jetzt wird ja unter /etc/network/run in der Datei "ifstate" die Netztwerke geschrieben:

    Source Code

    1. lo=lo
    2. eth0=eth0
    3. eth0:1=eth0:1
    4. eth0:2=eth0:2
    Hier wurden aber nur die zwei letzten IP-Adressen geschrieben, die ersten zwei nicht.

    Deshalb führte ich ein den iptables -F Befehl zum Reset aus um sicher zugehen das nichts geblockt wurde.
    Prompt sperrte mich meine Firewall samt aller Ip-Adressen aus, mein Server war nicht mehr zu erreichen.

    Nach einem Neustart über den Kundenbereich meines Providers war die Haupt Ip-Adresse wieder frei, konnte ich durch anpingen gut ausfinden. Die anderen zwei zusätzliche Adressen waren noch gesperrt. Ich gehe mal davon aus, das ein Script vom Provider oder vom System vorhanden ist, das die Sperre auf der Haupt IP- nach einem neustart aufhebt.

    Nur wenn man dass noch nicht weis brasselt man da schon erstmal, da die der neustart etwas dauert und wenn man zu schnell angingt kann man auch die Haupt IP- nicht erreichen. Um es genau zu sagen habe ich beim ersten mal 3Std gebraucht bis ich die Sperre raus hatte, denn im Rescue System läuft das iptables nicht und man kann dort die Sperre nicht rückgängig machen.

    Zum Test, weil ich immer alles genau wissen möchte habe ich es gesten Nacht nochmals versucht und promt war ich mit -F wieder aus dem Geschäft.... :D
    Naja diesmal wusste ich bescheid so das ich erstens mehr feststellen konnte und alles nach 5min im Griff hatte.

    Also jetzt zum Hauptteil, wie gesagt betreibe ich auch das Webmin, dort habe ich meine Firewall eingerichten, wie z.B. das ganze Osteuropa ausgesperrt und Teile von der USA, natürlich habe ich das so eingerichtet, dass noch wichtige Bots frei sind.

    Diese Linux Firewall haut mich jedes mal raus wenn ich unter iptables -F das Reset ausführe, führe ich am Ende dann in dieser Firewall auch das Reset aus, sind die zwei IP-Adressen auch wieder frei.

    Vielleicht kann sich das jemand erklären wieso, ich werde hier als Anhang meine Roules der Linux Firewall mal anhängen.

    Für mich ist diese Art von Firewall besser zu meistern, da es unter Webmin einfach ist was zu sperren und zu entsperren und wenn ich die Text Datei unter etc/iptables.up.rules manuell bearbeite, kann ich auch die iptables Regeln die ich normal per Terminal eingebe mit rein schreiben, die dann im Webmin auch übernommen werden. Die Verwendung der Linux Firewall hebt die Eingabe aus dem Terminal auf, so das es nichts bringt dort Regeln einzugeben, diese werden zwar gespeichert, werden aber nicht angewandt. Nicht bei der Linux Firewall, diese Arbeitet korrekt. Ich habe es mal getestet, es geht entweder oder....., beides zusammen laufen nicht.

    Aber Trotzdem passiert was wenn ich per Terminal iptables -F eingeben, dann sperrt meine Linux Firewall alles ab.

    Achso, das mit den Fehlenden Netzwerke und dass mir das Terminal sagte, kann nicht schreiben Existiert bereits, war nach dem neustart von alleine behoben. Wenn ich diese Datei lösche und das Netzwerk neustarte, wird die Datei neu geschrieben und der Inhalt stimmt wieder.

    Frohes neues Jahr wünsche ich allen.
    Gero
    Files
    Dieser Beitrag wurde bereits 2000 mal editiert, zuletzt von »Coolman« (24.07.2020, 21:47)

    I go with the time...

    The post was edited 2 times, last by Coolman ().

  • was wird denn "alles" gesperrt?
    Ich meine die Firewall arbeitet ja auf bestimmten Ports. Klappt HTTP nicht oder auch kein SSH?

    Vielleicht routest du auch per Default ein paar Ports von der Haupt IP an die weiteren IPs - und diese entfernst du mit dem Flush.
    Ich muss zugeben, dass ich mir die Datei kaum angeschaut habe - die ist schon ziemlich unübersichtlich ;)

    Wünsche einen guten Rutsch.. dies ist mein letztes Posting dieses Jahr ;)
  • Ja die Liste wird vom Webmin etwas blöd gelistet, habe ich auch schon gemerkt, wird aber im Webmin richtig und Übersichtlich angezeigt.
    Ja es wurde alles gesperrt, auch die SSH Ports.

    Ich kenne jetzt aber die Antwort meiner Frage:
    Iptables -F resettet zwar Iptables, aber nicht die Hauptregeln. Wenn du also ein INPUT DROP und ein OUTPUT DROP drinnen stehen hast, dann resettet dir Iptables nur die kleinen Regeln, also wenn du Beispielsweise alles geschlossen hast, und Port 80 freigegeben hast, wird die Regel für Port 80 resettet. Die Masterregel beliben aber, und stehen somit auf DROP. Deshalb schmeisst dich dein Server raus.


    Und das ist ja in meiner Linux Firewall vorhanden, erst alles sperren und dann nur dass öffnen was gehen soll und da sind die SSH Ports auch mit dabei, da diese bei mir nicht auf Standard laufen.

    Also hat sich das jetzt eigentlich geklärt. :)

    Gruß Gero
    Dieser Beitrag wurde bereits 2000 mal editiert, zuletzt von »Coolman« (24.07.2020, 21:47)

    I go with the time...

    The post was edited 1 time, last by Coolman ().

  • Mit iptables -P müsste es ja dann gehen, da meine Regeln bezüglich des Zugriffs nur mit INPUT Chain vorhanden sind.

    Muss ich mal testen wenn niemand Nachts bei mir im Forum ist.

    Letztens habe ich es aus meinem Webmin resetet, war die einzige Seite (443) die ich neben dem SSH Port noch aufrufen konnte. Habe jetzt aber noch ein Tipp bekommen, das ich es mal mit "--flush -F [chain] Delete all rules in chain or all chains" versuchen kann.

    Mit -F sperre ich mich ja aus und komme erst nach einem neustart nur noch ins SSH der Haupt- IP rein, also des eth0 Netzwerkes, die anderen Ports werden weiterhin gesperrt, wie z.b. Port 80.

    Gruß Gero
    Dieser Beitrag wurde bereits 2000 mal editiert, zuletzt von »Coolman« (24.07.2020, 21:47)

    I go with the time...

    The post was edited 2 times, last by Coolman ().