Ubuntu Server (Firewall Einstellungen) [Beitrag #3057] |
Sa, 20 November 2021 13:18  |
ThePB123
Beiträge: 1 Registriert: November 2021
|
Junior Member |
|
|
Liebe Linux-Nutzer
Ich habe mir kürzlich einen Ubuntu-Server installiert. Nun möchte ich folgendes machen:
Zu Testzwecken möchte ich gerne den Firewall des Servers so einstellen, dass er nur Verbindungen zulässt, welche aus meinem eigenen Netzwerk sind.
Ist das möglich?
Ich hatte bereits die Idee mit iptables zu arbeiten, da bin ich aber einfach nicht weitergekommen.
Ich freue mich über euere Rückmeldungen, damit ich endlich weiterarbeiten kann.
Danke bereits im voraus.
ThePB123
PS: Den Server habe ich mit Oracle's VirtualBox emuliert. Er sollte vollen Zugriff auf meine Netzwerkschnittstelle haben.
|
|
|
Aw: Ubuntu Server (Firewall Einstellungen) [Beitrag #3058 ist eine Antwort auf Beitrag #3057] |
Fr, 26 November 2021 12:42   |
 |
B-52
Beiträge: 218 Registriert: August 2010 Ort: Bern
|
Senior Member |
|
|
ThePB123 schrieb am Sa, 20 November 2021 13:18
Ich hatte bereits die Idee mit iptables zu arbeiten, da bin ich aber einfach nicht weitergekommen.
Dann bietet sich ufw an. Zuerst ignoerieren wir alle einkommenden Verbindungen und erlaufen alle ausgehenden:
# ufw default deny incoming
# ufw default allow outgoing
jetzt öffnest Du Port für Port für den Betrieb (z. B. 443 für apache2) Da der Server noch lokal läuft, besteht die gefahr nicht, sich selbst auszusperren. Bedenke jedoch, bei einem entfernten Server den ssh-Port zu öffnen:
oder
Deine eigene IP erlaubst du mit:
ThePB123 schrieb am Sa, 20 November 2021 13:18
PS: Den Server habe ich mit Oracle's VirtualBox emuliert. Er sollte vollen Zugriff auf meine Netzwerkschnittstelle haben.
Das ist u.a. eine Einstellung in der VM selbst und nicht in Linux.
meine Distribution: Debian Bullseye minimal (vServer)
[Aktualisiert am: Fr, 26 November 2021 12:46] Den Beitrag einem Moderator melden
|
|
|
Aw: Ubuntu Server (Firewall Einstellungen) [Beitrag #3062 ist eine Antwort auf Beitrag #3058] |
Di, 30 November 2021 17:35   |
 |
freefloating
Beiträge: 543 Registriert: Juli 2012 Ort: Schweiz
|
Senior Member |
|
|
Hallo zusammen
Nach meinen Kenntnissen müsste deine Firewall eigentlich automatisch alle internen Verbindungen zulassen. Die Sperre ist nur für den Aussenbereich. Dieses Prinzip müsste auch für den Server gelten. Wie es sich diesbezüglich mit einer Virtual Box verhält ist mir unbekannt. Von der Logik her müsste es auch hier funktionieren. Aber bitte behafte mich nicht.
Gruss freefloating
Carpe diem - pflücke den Tag!
[Aktualisiert am: Di, 30 November 2021 17:40] Den Beitrag einem Moderator melden
|
|
|
Aw: Ubuntu Server (Firewall Einstellungen) [Beitrag #3257 ist eine Antwort auf Beitrag #3057] |
So, 15 Juni 2025 18:11  |
o-mobil
Beiträge: 2 Registriert: Juni 2025 Ort: Berlin
|
Junior Member |
|
|
Moinn,
da ich öffters in Räumen bin, wo man eine Public-IP über DHCP bekommt, stand ich auch vor diesem Pronblem.
Ich habe es mit iptables in Hinblick auf Netzsegemte gemacht.
Ich hänge mein Script einfach mal an:
# Generated by iptables-save v1.8.4 on Sat Mar 12 19:39:14 2022
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 217.197.81.0/25 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 217.197.81.0/25 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 217.197.81.0/25 -i lo -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#
-A INPUT -s 192.168.188.0/24 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.188.0/24 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.188.0/24 -i lo -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#
-A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i lo -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#
-A INPUT -s 192.168.2.0/24 -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i wlp3s0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i lo -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#
#-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j DROP
-A OUTPUT -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#-A OUTPUT -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o wlp3s0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Mar 12 19:39:14 2022
Und den Netzbereich (NAT) den du nicht brauchst wirfst du dann einfach aus dem script raus...
LG
Olav
|
|
|