Frage zu iptables

[lunatikz]

Hi,

ich möchte mittels iptables jeglichen Traffic von localhost blocken,
dazu hab ich die policy von input auf drop gesetzt.
ping localhost liefert erwartungsgemäß keine Ergebnisse, also alle Pakete werden verworfen.
Wenn ich jedoch eine ssh anfrage starte (ssh <username>@localhost), wird dies ohne weiteres akzeptiert, also das entsprechende Paket kommt durch..
Wieso ist das so ? Hab ich einen Fehler in meiner Denkweise ?

Grüße,
luna

 

[0w1p]

ports blocken? aber mehr wüsst ich auch nicht

 

[lunatikz]

na ja wenn ich die policy schon entsprechend einstelle, ist es doch so, dass alle Pakete unabhängig vom eingehenden bzw ausgehenden Port geblockt werden sollten. Wie gesagt, ping etc. und inet und bla funktioniert alles nicht, was so auch richtig ist. aber ssh anfragen werden halt nicht gefiltert.. und ich versteh nicht, warum dass nicht gefiltert wird.

 

[Revolution]

Ich wäre mir nicht so sicher ob man localhost überhaupt sauber blocken kann. Wenn der Client und der Server auf dem gleichen OS laufen ist das verhalten oft anders als erwartet und das ganze läuft teilweise dann über Sockets. Auch muss localhost für ne Firewall nicht unbedingt das selbe wie 127.0.0.1 sein.

Was willst du den bitte damit erreichen localhost zu blockieren? Oder willst du einfach nur Zugriff von außen auf Localhost blockieren?

 

[lunatikz]

nein ursprünglich ging es darum, sämtlichen eingehenden Verkehr zu droppen, lediglich ssh anfragen sollen nicht gefiltert werden. Dies ist eine Aufgabe die ich vorführen muss. Jedoch muss ich auch zeigen, dass ohne entsprechende Regel (dann natürlich, ne Accept regel für Port 22 (ssh)) ein ssh-request fehlschlägt, und mit entsprechender Regel dann eben klappt.
Das ganze halt also keinen weiteren bzw tieferen Sinn

Ich wäre mir nicht so sicher ob man localhost überhaupt sauber blocken kann. Wenn der Client und der Server auf dem gleichen OS laufen ist das verhalten oft anders als erwartet und das ganze läuft

--Y> ok ich setz mal fix ne VM auf, und teste es dann damit..

Ergänzung (6. Februar 2012)

ok, hab mal eine Vm aufgesetzt... hat aber leider nicht viel gebracht.

Als Regeln auf dem Hostsystem hab ich folgendes definiert..

iptables -P INPUT DROP
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

eth1 ist das Interface auf dem Hostsystem, auf dem die ssh requests von der VM eingehen, getestet mit wireshark.
Allerdings werden die ssh-Anfragen nicht durchgelassen, obwohl doch eigentlich die obige 2. regel genau das definiert, dass Pakete durchgelassen werden sollen (auf port 22) ..

 

[BasCom]

fon wo kommen noch gleich die ssh anfragen ? wie sehen die regeln fuer output aus.

poste mal ein iptables -L

fielleicht wurden die regeln gar nicht angewandt, oder eine forherige sorgt dafuer das deine nicht gilt. schliesslich hast du die ja ans ende der chain angehangen.