Was spricht gegen "iptables -P FORWARD DROP"?

Ich will ja nicht, dass mein Gerät IP Pakete zwischen irgendwelchen anderen Geräten routet, von denen ich nichts weiß.

Die Standardeinstellung ist aber nicht DROP, sondern ACCEPT. Warum?

4 Antworten

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Linux

02.08.2024, 13:02

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

Typischerweise ist Forwarding eh deaktiviert und wenn Du es aktivierst, kannst Du auch die FW gleich konfigurieren.

Davon ab ist die default Policy eben ACCEPT bei allem, einfach weil so keien Intervention stattfindet, wenn nichts konfiguriert wurde.

DummeStudentin

Beitragsersteller

02.08.2024, 13:37

Für Docker, Podman oder LXC braucht man IP Forwarding, wenn die Container Zugriff auf das Netzwerk haben sollen.

KarlRanseierIII

02.08.2024, 21:14

@DummeStudentin

Nicht zwingend.

kmkcl

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

02.08.2024, 08:31

Ich würde mal sagen, der Standardfall ist eben, dass keine "Firewall" aktiv ist. Also erst mal von einem vertrauenswürdigen Netz ausgegangen wird.

iQa1x

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

02.08.2024, 08:33

Die Standardeinstellung von allen iptables-Policies ist ACCEPT. Das auf DROP umzustellen ist immer sinnvoll. Selbst wenn du die Funktion benutzt, dann richtet man eben spezifische Regeln für den erlaubten Verkehr ein.

Wenn du kein forwarding / routing machst, kannst du das Problemlos umstellen.

Ich habe auch bei INPUT und OUTPUT als Policy DROP, aber mit entsprechenden Regeln für den erlaubten Verkehr davor.

Typischerweise gibt es aber noch einen net.ipv4.ip_forward Kernel Flag, der oft default aus ist, so dass auch Accept prinzipiell kein Problem gibt.

PS: Wenn du Docker oder Virtualisierung auf der Kiste machst, brauchst du da dann ggf. Regeln für.

Woher ich das weiß:Studium / Ausbildung – Informatiker

DummeStudentin

Beitragsersteller

02.08.2024, 08:40

Das auf DROP umzustellen ist immer sinnvoll.

Naja, bei INPUT und OUTPUT finde ich ACCEPT schon sinnvoll, da ja die Dienste, die auf dem Gerät laufen, erreichbar sein sollen und man sich bei ausgehenden Paketen normalerweise nicht selbst einschränken möchte.

PS: Wenn du Docker oder Virtualisierung auf der Kiste machst, brauchst du da dann ggf. Regeln für.

Eben, darum ist IP Forwarding überhaupt aktiviert, denke ich. Aber Docker erstellt ja seine eigenen Regeln, da dürfte die Policy ziemlich egal sein.

iQa1x

02.08.2024, 08:44

@DummeStudentin

DROP erlaubt mehr Kontrolle. für die Dienste gibt es dann eben entsprechende Regeln, die diese explizit erlauben. Ich will ja z.B. ssh nur im LAN erlauben, nicht weltweit. Bei OUTPUT kann man geteilter Meinung sein, weil es macht Arbeit, das mache ich dann auch nur bei Servern mit einer festen Aufgabe.

DummeStudentin

Beitragsersteller

02.08.2024, 08:45

@iQa1x

Hmm ja, bei Servern ergibt es Sinn. Lokal habe ich eh im Router eine Firewall, da kommt sowieso nichts rein, außer was ich erlaube.

anTTraXX

02.08.2024, 08:24

Ein generelles DROP würde jeglichen Weiterleitungsverkehr blockieren, ohne Rücksicht auf spezifische Sicherheitsregeln. Was unweigerlich zu Problemen im Netzwerk führen dürfte.

DummeStudentin

Beitragsersteller

02.08.2024, 08:30

Das ist ja nur die Policy, wenn keine Regel auf das Paket zutrifft.

anTTraXX

02.08.2024, 08:33

@DummeStudentin

Naja aber du musst davon ausgehen das der DAU sich damit eher nicht so auskennt und daher es wenig soll macht die Firewall erstmal komplett zu versiegeln

Xandros0506

02.08.2024, 08:51

@DummeStudentin

Eigentlich ist es nicht "nur" die Policy, welche greift, wenn keine andere Regel zutrifft. Das "nur" ist völlig Fehl an dem Platz, denn es ist die Policy, die IMMER dann greift, wenn wenn keine andere Regel greift. Das ist quasi der Schrottcontainer, in den jeglicher Mist hinein läuft, den du vorher nicht explizit mit einer anderen Regel behandelt hast.

Ist also durchaus möglich, dass darin auch etwas verschwindet, was du im Netzwerk brauchst, aber weil du es nicht mit einer anderen Regel explizit behandelst (und dies nicht auf dem Schirm hast!), schiesst du dir sowas dann ins Nirvana.

Sowas kann also völlig ok und angebracht sein, es kann aber genauso auch für immense Probleme sorgen, wenn man nicht daran denkt, dass diese Policy aktiv ist.

Üblicherweise lässt man jeglichen Traffic erst einmal zu und blockt dann gezielt das, was man absolut nicht haben will.
Du willst das andersherum -> erst einmal alles blocken und dann gezielt wieder erlauben. Musst du entscheiden, welcher Weg auf Dauer in deinem Anwendungsfall pflegeleichter ist.

Thomasg

02.08.2024, 11:30

@Xandros0506

Es geht hier um die Forward Chain, die wird auf einem normalen PC oder Server nicht benötigt, lediglich, wenn der Rechner als Router oder Firewall fungiert. Daher schadet ein Drop als Default Policy nicht.

Abgesehen davon, dass es eh keine Auswirkungen hat, solange man nicht explizit das ip Forwarding im Kernel mittels

sysctl net.ipv4.ip_forward=1

aktiviert hat.

Und ja, mit der Policy legt man fest, ob man in der jeweiligen Chain Black- oder Whitelisting haben möchte. Das muss jeder selbst entscheiden, was für den jeweiligen Anwendungsfall sinnvoller ist.

Ähnliche Beiträge

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zum Beitrag

OpenWRT: Routing in bestimmtes IP-Subnetz blockieren?

Guten Abend,

mein OpenWRT-Router (TL-WR841ND) hängt zum einen mit einer eigenen IP im Heimnetz, sodass er nur eine Bridge darstellt.

Allerdings habe ich auch ein 2. Subnet (10.0.2.0/28), welches virtuell erzeugt wird. Dieses routet dann durch das Heimnetz (10.0.1.0/26).

Nun handelt es sich bei dem 2. Netz um ein Netz, welches zwar ins Internet soll, aber halt nicht auf das 1. Netz zugreifen soll. Nun routet es aber auch dadurch um andere Dinge aufzurufen. Daher würde ich gerne eine Firewall-Regel mit iptables anlegen, welche zwar ein Routing durch das Netz erlaubt (um auf das Internet zuzugreifen), aber kein direktes Routing in das Netz 10.0.1.0/26. Wenn ich nun aus dem 2. Netz ins Internet will routet er durch 10.0.2.1 (OpenWRT-Router, VLAN2) und dann über meinen DSL-Router (10.0.1.1). Eine Bereichssperre von 10.0.1.2 - 10.0.1.62 bringt mir nichts, da ich auch das Routerinterface selbst sperren möchte.

...zum Beitrag

Sollte ich im privaten Netzwerk statisch IPv4 Adressen benutzen?

Ich habe eine Fritz!Box und aus irgendwelchen Gründen sind die IPv4-Adressen von allen Geräten statisch, bzw. bekommen von der Fritz!Box immer dieselbe IPv4 Adresse.

Wenn jetzt ein Gerät Monate lang nicht benutzt wird, weil zum Beispiel das Handy von jemanden ist, der nicht häufig im Netzwerk ist, ist die IPv4 Adresse trotzdem besetzt. Irgendwann gehen die IPv4 Adressen aber aus.

Klar kann man das Subnetz anpassen, aber das löst nicht das Problem, dass die Geräte IPv4-Adressen besetzten.

Ich kann den Haken bei jedem Gerät herausnehmen, wo ich glaube, dass es keine statische IPv4 Adresse braucht, was alles außer Router, Repeater, VPN-Tunnel und Drucker wäre. IP-Adressen können dann wieder vergeben werden.

Die IP ist ja nicht die Adresse, die das Gerät identifiziert, sondern nur die Adresse, wo die Pakete hin müssen. Wenn ich umziehe, habe ich zwar eine andere Adresse, aber ich bin immer noch dieselbe Person.

...zum Beitrag

Werden die Daten hier auch über den Router versendet?

Ich arbeite mich gerade in das Thema Netzwerke ein und an einer Stelle heißt es, dass wenn ein Gerät ein IP-Paket versenden möchte, erst einmal die Netzwerkteile der Quell-IP-Adresse und der Ziel-IP-Adresse vergleichen werden. Wenn das der Fall ist, würde das Paket direkt an den Empfänger versendet werden. Ansonsten würde das Paket an den Router versendet werden. Heißt das, dass dieses direkte Versenden nicht über den Router geschieht? Wenn ja, wie geschieht es dann? Danke bereits im Voraus

...zum Beitrag

Meine IP ist gesperrt! um diese zu entsperren soll ich ein paar Einstellungen umändern. Kann mir jemand das hier in einfacher Sprache übersetzen?

Anmerkung: Meinen Router habe ich von Vodafone. An den Voreinstellungen habe ich nichts geändert. Mein PC Betriebssystem ist Windows 11.

Wie mache ich das ? Was muss ich genau tun? Bitte in einfacher Sprache erklären

Vielen Dank, dass Sie Spamhaus CSS Removals kontaktiert haben.

xx.xxx.x.xxx wurde als Teil eines Proxy-Netzwerks klassifiziert. Es gibt eine Art Malware, die diese IP verwendet und einen Drittanbieter-Proxy installiert, der für fast alles verwendet werden kann, einschließlich des Versendens von Spam oder des Stehlens von Kundendaten. Dies sollte besorgniserregender sein als ein Spamhaus-Eintrag, der ein Symptom und nicht das Problem darstellt.

Wichtig: Wenn diese IP als Mailserver fungiert, sollte sie wie ein Mailserver aussehen und sich wie ein Mailserver verhalten. So wie es aussieht, scheint das verwendete HELO dynamisch zu sein. Dieses Verhalten wird häufig in Malware-/Proxy-Netzwerken beobachtet.

(IP, UTC-Zeitstempel, HELO-Wert)

ip-xx.xxx.x.xxx um26.pools.vodafone-ip.de

xx.xxx.x.xxx.um26.pools.vodafone-ip.de

xx.xxx.x.xxx.dynamic.adsl.gvt.net.br

Der Proxy ist auf einem Gerät installiert – normalerweise einem Android-Handy, Firestick, einer intelligenten Türklingel usw., aber auch iPads und Windows-Computern – das Ihre IP verwendet, um Spam DIREKT über Port 25 ins Internet zu senden: Dies ist sehr oft das Ergebnis von „kostenlosen“ Apps von Drittanbietern wie VPNs, Kanal-Freischaltungen, Streaming usw., die auf dem persönlichen Gerät einer Person, normalerweise einem Telefon, installiert werden.

Dies ist eine einfache Erklärung, wie das funktioniert:

Überprüfen Sie zunächst alle Geräte, auf denen „kostenlose“ VPNs, TV-Streaming, Kanalfreischaltung oder Apps von Drittanbietern installiert sind.

Wie dieses Problem gelöst werden kann, hängt davon ab, ob diese IP statisch ist und für die geschäftliche Nutzung mit einem internen Mailserver zugewiesen wird oder ob sie dynamisch für die private Nutzung ist. Wenn Sie sich nicht sicher sind, rufen Sie Ihren ISP an und fragen Sie ihn.

HEIMBENUTZER: Dynamische Einzel-IP für nichtkommerzielle Nutzung. Es gibt eine Reihe von Möglichkeiten:

* Möglicherweise haben Sie ein Problem vom vorherigen Benutzer der IP geerbt. Bitte überprüfen Sie die oben angegebenen Zeitstempel. War diese IP zuletzt Ihre?

* Dynamische IPs sind nicht für den Betrieb von Mailservern gedacht. Wenn Sie dies tun, suchen Sie bitte bei Ihrem Anbieter nach einer Lösung. Eine wirksame NAT-/Firewall-Konfiguration ist erforderlich.

* Für den Fall, dass Sie keinen eigenen Mailserver betreiben – was für die meisten Menschen der Fall sein dürfte – konfigurieren Sie bitte Ihren Router so, dass er jeglichen Zugriff auf Port 25 blockiert, und verwenden Sie SMTP AUTH beim Anbieter Ihrer Wahl. Ihr ISP kann Ihnen dabei helfen und die meisten Router-Benutzerhandbücher sind online verfügbar.

Bitte wenden Sie sich an Ihren ISP oder Ihre IT-Abteilung, um Hilfe bei der korrekten Konfiguration Ihres Routers oder Ihrer Firewall zu erhalten. Sie können die meisten Router-Konfigurationshandbücher auch online finden.

Wenn die IP statisch ist, liegt im Netzwerk ein Malware-Problem vor. Es ist sehr unwahrscheinlich, dass es sich um den eigentlichen Mailserver handelt, aber es handelt sich um etwas, das dieselbe öffentliche IP-Adresse verwenden kann.

Bedenken Sie die Auswirkungen, wenn ein Proxy, der unter der Kontrolle einer anderen Person steht, in Ihrem Netzwerk aktiv ist: Böswillige Betreiber kontrollieren ein Gerät in Ihrem Netzwerk. Für sie ist Spam ein Extra. Ihr Geschäft ist ihr Geschäft.

Wir empfehlen dringend, Ihre Firewall so zu sichern, dass keine ausgehenden Pakete über Port 25 zugelassen werden, außer solchen, die von einem oder mehreren E-Mail-Servern in Ihrem lokalen Netzwerk stammen. Das Remote-Versenden von E-Mails an Server über das Internet sollte weiterhin funktionieren, wenn webbasiert oder ordnungsgemäß für die Verwendung von Port 587 mit SMTP-AUTH konfiguriert. Wir empfehlen auch, alle Gastnetzwerke auf die gleiche Weise zu sichern. WICHTIG: Durch die Begrenzung von Port 25 wird verhindert, dass Verbindungen Ihr Netzwerk verlassen, der Proxy wird jedoch nicht neutralisiert. Es muss gefunden und entfernt werden.

Da wir weder NAT noch die Firewall durchschauen können, liegt die Fehlersuche ausschließlich in der Verantwortung des IT-Managers. Die Protokollierung am Router oder an der Firewall, um zu sehen, was versucht, Port 25 zu verwenden, sollte zu den kompromittierten Geräten führen.

Die einfachere Vorgehensweise wäre, den ausgehenden Port 25 auf Mailserver zu beschränken und so Ihr Netzwerk zu sichern und die Einträge zu stoppen. Anschließend können Sie nach den Geräten suchen.

HINWEIS: Es kann mehr als ein betroffenes Gerät geben. Es kann auch mehr als ein Problem geben. Bitte überprüfen Sie alle Ihre technischen Einstellungen, einschließlich DNS (Forward und Reverse) und HELO-Werte. Auch Gastnetzwerke müssen gesichert werden.

Unsere FAQ :

https://www.spamhaus.org/faq/section/Hacked...%20Here's%20help

...zum Beitrag

Telekom Speedport: Port Forwarding überhaupt möglich/sinnvoll ohne feste öffentliche IP?

Hallo zusammen,

ich würde gerne einen service in meinem Heimnetzwerk aus dem Internet ansprechen.

Port Forwarding lässt sich auf dem Speedport der Telekom konfigurieren, aber soweit ich weiß bekommt man von der Telekom zumindest als 0815-Kunde keine feste öffentliche IP-Adresse.

Wie soll ich ein Gerät draußen im Internet also auf meinen Service verweisen? Ist ja schön dass mein Router bestimmte Pakete weiterleitet, aber ohne feste IP, was soll ich denn als Target für das Gerät draußen im Internet eintragen?

Hat jemand eine Lösung, oder einen alternativen Vorschlag?

...zum Beitrag

Fremde Länder auf Linux Debian Server blockieren?

Ich würde gerne folgende Länder wie China, Vietman und so permanent von meinem Server sperren, so damit die IP Adressen automatisch keinen Zugriff mehr auf dem Server haben werden.

Kennt ihr Wege um dies zu sperren? Habe mich lang auf verschiedenen Foren erkundigt, jedoch nicht gerade mit viel Glück.

Und das xTables Addon von IPTables mit dem GeoIP Tool funktionierte auch nicht, weil während den Installationen ständig irgendwelche Dinge schief gehen.

MfG

...zum Beitrag

Yeezy bei drop kriegen?

Diesen Samstag kommen ja um 10 auf der Adidas Seite die neuen Yeezys raus. Bei den letzten Yeezys bin ich leider an kein Paar ran gekommen. Habt ihr Tipps, wie ich weitergeleitet werde, also z.B. ohne Adblock auf die Seite gehen oder nur mit einem Gerät darauf zugreifen weil sonst die IP geblockt wird.

Habt ihr Tipps?

...zum Beitrag

PC bekommt kein Internet?

Hallo, wollte heute meinen PC ans Lan Kabel anschließen nun kommt immer das mein PC über keine Gültige IP Konfiguration Verfügt. Habe alles versucht aber irgendwie klappt nichts auch nach Neustarts vom Router und PC. Habe in dem Systemeinstellung nachgeschaut Pakete werden Gesendet aber nicht Empfangen. (Mein Pc war vorher schonmal über Lan verbunden nun hab ich ein neuen Vertrag beim gleichen Anbieter gemacht. Hatte das Problem vor paar Jahren schonmal aber keine Ahnung was ich damals gemacht habe.

...zum Beitrag

Hosting durch zwei Netzwerke?

Guten Abend,

ich habe eine kleine Frage an die Leute, die Erfahrung mit Hosting haben.
Unabhängig ob es ein Gameserver war oder Webspacehosting.
Wichtig dabei ist, dass ihr es am eignen Netzwerk durchgeführt habt und dazu kommen wir zu meiner Frage.

Folgendes:

Ich verwende einen Laptop als Server. Für ihm habe ich auch einige Ports freigegeben, damit er bei Minecraft einen Server hostet und FTP Zugang gewährt für mich und meinem Freund.

Genauso habe ich eine SRV und eine A Eintrag bei meiner TLD zur öffentliche IP-Adresse hinzugefügt und die Subdomain für Minecraft läuft bisher bestens.

Sogar Uptimerobot habe ich auf die IP und Ports gesetzt, dass er die anpingt und einen Uptimestatus Seite dafür bereit stellt.

Nun nach den paar Tagen das er läuft habe ich mir über die Sicherheit Gedanken gemacht.

Bisher habe ich alles einem Netzwerk gehabt und dies in einer Fritz!Box, wo alle Geräte verbunden sind und der auch ans V-DSL angebunden ist. Achtung, ich verwende nicht Exposed Host, weder noch an meinem Gaming PC (selbständige Port UPNP schon), wie auch beim Server Laptop (selbstständige Ports sind aus).

Nun habe ich mir gedacht, mein Netz zu Trennen zwischen dem Server Netzwerk und Hauptrouter und dies hat bisher auch geklappt, ich habe in der zweiten Fritz!Box in den Zugangsdaten die Verbindung vom Hauptrouter angegeben und es am Handy zu Urteilen, hat es Internet-Anbindung mit der gleichen öffentlichen IP-Adresse, aber Intern einen neuen Block statt xxx.xxx.178.xxx hat er nun xxx.xxx.188.xxx.

Um es sich Bildlich vorzustellen:

. Geräte vom Haushalt (178 Block)

V-DSL <===> Fritz!Box #1 ˫

. Fritz!Box #2 <===> Server Laptop (188 Block)

Würdet ihr dies als Sicherer so bezeichnen, oder würdet ihr eine andere Reihung der Verbindungen empfehlen oder gar eine ganz andere Methode. Ich bin offen und lerne gerne dafür dazu.

Vielleicht habt ihr auch sonstige Vorschläge, die zu meinem Schutz auch nützlich sein könnten :)

~ Die Falke in Gutefrage.

...zum Beitrag

Firewall LAN und WAN Geräte miteinander kommunizieren lassen?

Hallo zusammen,

ich möchte auf meiner XGS ermöglichen, dass LAN und WiFi Geräte miteinander kommunizieren können.

Ich habe diese Interfaces:

Damit nun ein Gerät aus dem WiFi mit einem Gerät aus dem LAN kommunizieren kann, habe ich diese Regel erstellt:

Regel steht natürlich auf POS 1.

-----

Nun zum Test:

Wenn ich von meinem PC aus dem LAN, einen Ping auf ein Gerät im WiFi starte, wird das Gerät im WiFi nicht erreicht. Allerdings kann ich bei der Regel sehen, dass Traffic aus herauskommt:

Selbiges gilt auch anders herum, also von WiFi einen Ping ins LAN, ist das LAN-Gerät ebenso nicht erreichbar.

Wenn ich nun von LAN das Interface von WiFi Pinge, funktioniert das einwandfrei:

Andersrum von WiFi auch das LAN Interface pingbar.

Was fehlt mir denn hier noch, bzw. was habe ich hier falsch eingerichtet?

...zum Beitrag

SSID von Devolo Router versehentlich geändert was jetzt?

Hey liebe Community,

ich habe dooferweise ausersehen meine Router SSID von meinem WLAN Verstärker geändert.

Ich dachte, das wäre der Name von dem Netzwerk.

Dadurch sind dann aber alle WLAN Verstärker "verschwunden" und es kann nur noch mit dem Namen meiner SSID verbunden werden.

Wie kann ich jetzt alle Geräte wieder auf Standard zurücksetzten, sodass jeder Router wieder seine eigene IP hat?

Die Verstärker sind alle von Devolo und wenn ich sie auf die Standardeinstellungen zurücksetzte passiert nichts mit der SSID. (In den Einstellungen Access Point)

Danke schonmal im Voraus!

Liebe Grüße,

Luca

...zum Beitrag

Kühlschrank Kabel am Kühlschrank kleben?

Hallo! Doofe Frage, aber kann man das Kabel vom Kühlschrank auch hinten mit etwas Paket-Klebestreifen an dem Kühlschrank-Rücken befestigen? Es liegt sonst unten am Boden und ich mache mir auch Sorgen, dass es beim Reinigen (hin und her schieben) unter den Kühlschrank gerät? Spricht was dagegen?

...zum Beitrag

Mit Android Air Drop senden+empfangen möglich?

Ist es möglich, mit einem Android-Gerät über Air Drop an iOS Geräte zu senden und zu empfangen? AirDrop funktioniert über Bluetooth und Wlan, die nötige Hardware haben Android-Geräte also.

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen