IPTABLES - Team Image Solo V6.0.5

pwn1ca · 12. Januar 2014, 22:31

Hi zusammen,

ich würde meine VU+ Solo gerne durch eine IPTABLES Firewall zusätzlich schützen.
Habe auch schon das Paket "iptables" aus den Quellen installiert.

Leider erscheint folgende FM, sobald ich irgend etwas per ssh an den IPTABLES ändern möchte:

modprobe: module ip_tables not found in modules.dep
iptables v1.4.12.2: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Habe bereits ein "depmod -a" durchgeführt, aber leider brachte das keinerlei Verbesserung.

Ein "modprobe ip_tables" gibt folgende Meldung aus:

"modprobe: module ip_tables not found in modules.dep"

Hat jemand eine Idee an was es liegt? Sind vielleicht irgendwelche Kernel-Module nicht installiert oder einkompiliert?

VIelen Dank und viele Grüße!

pwn1ca · 13. Januar 2014, 19:13

Also ich habe IPTABLES mittlerweile installiert bekommen,
leider erscheint beim ausführen verschiedener Scripe, die die IPTABLES Konfiguration beinhaltet immer folgende FM:

iptables: No chain/target/match by that name.

Kann mir jemand helfen? Hab schon alle möglichen Kernelmodule etc. installiert, ich kriege es einfach nicht hin

Vielen Dank vorab!

pwn1ca · 14. Januar 2014, 13:55

Bumb

geblubber · 14. Januar 2014, 16:21

Ich würde die übergebenen Parameter überprüfen. Laut der gesposteten Ausgabe, unterstellt er, dass die Regel den Namen iptables hat.

pwn1ca · 14. Januar 2014, 22:20

#!/bin/sh

#####################################################
# IPTables Firewall-Skript #
# #
# erzeugt mit dem IPTables-Skript-Generator auf #
# tobias-bauer.de - Version 0.4 #
# URL: tobias-bauer.de/iptables.html #
# #
# Autor: Tobias Bauer #
# E-Mail: exarkun@ist-root.org #
# #
# Das erzeugte Skript steht unter der GNU GPL! #
# #
# ACHTUNG! Die Benutzung des Skriptes erfolgt auf #
# eigene Gefahr! Ich übernehme keinerlei Haftung #
# für Schäden die durch dieses Skript entstehen! #
# #
#####################################################

# iptables suchen
iptables=`which iptables`

# wenn iptables nicht installiert abbrechen
test -f $iptables exit 0

case "$1" in
start)
echo "Starte Firewall..."
# alle Regeln löschen
$iptables -t nat -F
$iptables -t filter -F
$iptables -X

# neue Regeln erzeugen
$iptables -N garbage
$iptables -I garbage -p TCP -j LOG --log-prefix="DROP TCP-Packet: " --log-level 7
$iptables -I garbage -p UDP -j LOG --log-prefix="DROP UDP-Packet: " --log-level 7
$iptables -I garbage -p ICMP -j LOG --log-prefix="DROP ICMP-Packet: " --log-level 7

# Default Policy
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

# über Loopback alles erlauben
$iptables -I INPUT -i lo -j ACCEPT
$iptables -I OUTPUT -o lo -j ACCEPT

#####################################################
# ausgehende Verbindungen
# Port 12000
$iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 12000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I INPUT -i eth0 -p TCP --sport 12000 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Port 1543
$iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 1543 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I INPUT -i eth0 -p TCP --sport 1543 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Port 83
$iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 83 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I INPUT -i eth0 -p TCP --sport 83 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Port 23377
$iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 23377 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I INPUT -i eth0 -p TCP --sport 23377 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#####################################################
# eingehende Verbindungen
# Port 1221
$iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 1221 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP --sport 1221 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Port 1220
$iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 1220 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP --sport 1220 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Port 3222
$iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 3222 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP --sport 3222 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#####################################################
# Erweiterte Sicherheitsfunktionen
# SynFlood
$iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# PortScan
$iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping-of-Death
$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#####################################################
# bestehende Verbindungen akzeptieren
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#####################################################
# Garbage übergeben wenn nicht erlaubt
$iptables -A INPUT -m state --state NEW,INVALID -j garbage

#####################################################
# alles verbieten was bisher erlaubt war
$iptables -A INPUT -j garbage
$iptables -A OUTPUT -j garbage
$iptables -A FORWARD -j garbage
;;
stop)
echo "Stoppe Firewall..."
$iptables -t nat -F
$iptables -t filter -F
$iptables -X
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT
;;
restart|reload|force-reload)
$0 stop
$0 start
;;
*)
echo "Usage: /etc/init.d/firewall (start|stop)"
exit 1
;;
esac
exit 0

Das ist das Script, welches ich versuche auszuführen, die Rot markierten Zeilen erzeugen den o.a. Error, weiss da jemand weiter? Oder weisst du an was es liegt "Geblubber" ?

Vielen Dank vorab und viele Grüße!

geblubber · 15. Januar 2014, 07:57

Hast Du schon mal versucht, es von Hand auszuführen? Auch schon mal versucht, die FW Regeln manuell einzutragen?

pwn1ca · 15. Januar 2014, 20:50

Ja habe ich, kommen bei genau den gleichen Zeilen die gleichen FM.

Grüße

geblubber · 16. Januar 2014, 09:07

Mhm, dann würd ich sagen, dass noch einige Kernelmodule fehlen. Schau mal, ob die Kernel Packete für NAT und LOG installiert sind. Ich bin mir nicht sicher, wie diese bei dem VTi Image benamt wurden, aber ich würde erst enmal nach so etwas wie 'xtables_NAT' oder 'xt_NAT' suchen (natürlich dann noch nach LOG).

Der zweite rote Block (Erweiterte Sicherheitsfunktionen) ist ein meinen Augen, in einem internen Netz nicht nötig.

[EDÜT]
Hab gerade nachgesehen. Das fragliche Packet sollte nf-nat sein. Ob Du hier noch das zusätzliche iptables-nat brauchst, weis ich leider nicht. Evtl. kann das einer der Entwickler/Packetierer hier sagen, bei den normalen Distros gibt es eigentlich keine getrennten iptables Packete. Das xtables-log (xt_LOG.ko) Kernel-Packet scheint es für das VTi nicht zu geben, zumindest finde ich es nicht bei den Netfilter oder XTables Packeten. Die ganzen LOG Regeln wirst Du wohl rausnehmen müssen, sind eh nur interessant, wenn Du regelmäßig die Logs analysierst, um evtl. stattgefundene Angriffe zu analysieren. Ich hab gerade gesehen, dass Du auch eine Bandweitenlimitierung benutzen willst. Du brauchst also auch das xtables-limit (xt_limit.ko) Kernel Module, leider finde ich auch dazu kein entsprechendes VTi Packet.