IP Tables auf Router

baracuda · 9. Februar 2013

Hi,

Ich verwende einen Router mit Tomato als firmware. Ich habe versucht ein Firewall script zu machen um, einmal testhalber, bestimmte externe IPs zu sperren.

Script

Code

iptables -t filter -A INPUT -s x.x.x.x -j DROP
iptables -t filter -A INPUT -s y.y.y.y -j DROP

Am Router gibt mir iptables -vL das aus:

Code

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  tun22  any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:1194
    0     0 logdrop    0    --  any    any     anywhere             anywhere            state INVALID
    7   436 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 shlimit    tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh state NEW
    0     0 shlimit    tcp  --  any    any     anywhere             anywhere            tcp dpt:telnet state NEW
    4   120 ACCEPT     0    --  br0    any     anywhere             anywhere
    0     0 ACCEPT     0    --  lo     any     anywhere             anywhere
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere
    1    32 ACCEPT     igmp --  any    any     anywhere             anywhere
    2   658 logdrop    0    --  any    any     anywhere             anywhere
    0     0 DROP       0    --  any    any     x.x.x.x  anywhere
    0     0 DROP       0    --  any    any     y.y.y.y        anywhere




Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  tun22  any     anywhere             anywhere
    0     0 ACCEPT     0    --  br0    br0     anywhere             anywhere
    0     0 DROP       0    --  any    any     anywhere             anywhere            state INVALID
    0     0 TCPMSS     tcp  --  any    any     anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1461:65535 TCPMSS set 1460
    2    81 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 wanin      0    --  vlan1  any     anywhere             anywhere
    0     0 wanout     0    --  any    vlan1   anywhere             anywhere
    0     0 ACCEPT     0    --  br0    any     anywhere             anywhere
    0     0 upnp       0    --  vlan1  any     anywhere             anywhere

Alles anzeigen

Geblockt wird jedoch nichts. Woran könnte das liegen?

LG

Kampi · 10. Februar 2013

Zitat von baracuda

Geblockt wird jedoch nichts. Woran könnte das liegen?

normalerweise hoert sich soetwas danach an dass eine ACCEPT vorher greift. aber ich habe iptables schon jahre lang nicht mehr angegriffen, ich hasse sie. vor vielen jahren habe ich zum router firewall bauen fwbuilder verwendet. die config konnte man dann auch gleich per ssh/scp auf den router bringen.

skinner33 · 10. Februar 2013

Zitat von baracuda

Code

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    7   436 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    4   120 ACCEPT     0    --  br0    any     anywhere             anywhere
    1    32 ACCEPT     igmp --  any    any     anywhere             anywhere
    2   658 logdrop    0    --  any    any     anywhere             anywhere

Geblockt wird jedoch nichts. Woran könnte das liegen?

Um es mal ziemlich direkt zu machen; erste spalte gibt die Anzahl der Pakets an die durch eine Rule bearbeitet wurden.
Im Endeffekt lässt der erste Accept alle bestehenden durch und die nächsten beiden werden "alle" Interfaces des Routers abdecken.
Nachdem deine Blocks nach einem logdrop sind, wird sowieso kein Paket zu ihnen kommen.

Du solltest versuchen die mittels

Code

iptables -t filter -I INPUT -s x.x.x.x -j DROP
iptables -t filter -I INPUT -s y.y.y.y -j DROP

einzubauen. Damit kommen die an den Anfang der Filterregeln, welche top-down abgearbeitet werden.

IP Tables auf Router

Jetzt mitmachen!

Teilen

Tags

Benutzer online in diesem Thema