iptables für einen Webserver

Server_härtenEs geht weiter zum Thema Server härten. Heute mit iptables. Ich werde hier jetzt nicht lang und breit erläutern was iptables ist und wie jeder Befehl funktioniert. Das haben bereits andere gemacht =)

Ich werde hier nur einfach mal ein Script für die Grundfunktionalität posten. Darin sind alle Grundregeln, die ich auf einem Webserver einrichten würde. Ich gebe hier aber keine Garantie, dass diese auch wirklich sicher sind und genau so funktionieren. Das ist immer von dem eingesetzten System und den darauf laufenden Diensten abhängig.

Ich finde das ist erstmal ein gutes Grundgerüst. Man kann das Script jetzt natürlich noch beliebig erweitern. Ich würde empfehlen so ein Script immer erstmal auf einem Rechner zu testen bei dem ihr Zugriff auf die Hardware habt. Es ist ganz schnell mal passiert, dass man sich selbst aus dem System aussperrt und man nur wieder ins System kommt indem man dieses neu startet.

About Christian Piazzi

Ich blogge hier über alles, was mir so in meinem ITler Altag über den Weg läuft =)
Man findet mich privat bei Google+ und Twitter

Comments

  1. A User says:

    Das funktioniert nicht wenn ich das in Konsole paste

    iptables -A INPUT -p tcp –dport ssh -i eth0 -j ACCEPT

    Bad argument `–dport’

  2. Hallo,

    warum genau sollten für einen Webserver, jegliche Ports die mit Mailversand / abruf zutun haben, geöffnet sein?

    iptables -A INPUT -p tcp –dport 25 -i eth0 -j ACCEPT

    iptables -A INPUT -p tcp –dport 465 -i eth0 -j ACCEPT

    iptables -A INPUT -p tcp –dport 110 -i eth0 -j ACCEPT

    iptables -A INPUT -p tcp –dport 143 -i eth0 -j ACCEPT

    iptables -A INPUT -p tcp –dport 585 -i eth0 -j ACCEPT

    iptables -A INPUT -p tcp –dport 993 -i eth0 -j ACCEPT

    iptables -A INPUT -p tcp –dport 995 -i eth0 -j ACCEPT

    und auch port 53 ist eher fragwürdig für einen “Webserver”
    iptables -A INPUT -p tcp –dport domain -i eth0 -j ACCEPT


    Grüße

    • Christian Piazzi says:

      Hallo Paul,

      danke für die Frage. Wenn du eine statische Seite verwendet hast du natürlich recht. Da brauch ich diese Ports nicht. Ich selbst verwende aber zum Beispiel sehr oft ein CMS. Hier will ich u.A. dass das CMS mir eine Mail schicken kann. Ich selbst schicke auch mal eine Mail ans CMS, falls ich zum Beispiel das veröffentlichen eines Artikels triggern will.
      Den DNS Port kannst du natürlich weglassen. Auch von den Mail Ports kannst du sicherlich noch ein paar kürzen.

      Gruß

      Christian

Speak Your Mind

*