Good to Know Database

Raspbian Wheezy: iptables Firewall-Regeln für diverse Dienste


In der Anleitung Raspbian Wheezy: iptables konfigurieren habe ich bereits beschrieben wie Sie auf Ihrem Raspberry Pi die Firewall iptables aktivieren können. In dieser Anleitung wurde jedoch nur der TCP-Port 22, welcher vom SSH-Daemon genutzt wird, als Beispiel herangezogen. In der folgenden Anleitung möchte ich noch weitere Firewall-Regeln aufzeigen, welche Sie verwenden können, wenn Sie die jeweiligen Server-Dienste auf Ihrem Raspberry Pi betreiben.

Wichtiger Hinweis

Beachten Sie beim Einfügen einer der folgenden Firewall-Regeln in die /etc/network/iptables, dass sich die Firewall-Regel vor der folgenden Zeile befindet. Andernfalls werden die eingehenden Pakete abgewiesen bevor die gewünschte Firewall-Regel angewendet wird.

-A INPUT -j REJECT --reject-with icmp-host-prohibited

FTP-Server

Für einen FTP-Server welcher im passiven Modus erreichbar sein soll, wird die folgende Firewall-Regel benötigt. Dadurch wird der TCP-Port 21 für FTP freigegeben.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

Samba-Server

Bei einem Samba-Server müssen mehrere Ports in der Firewall geöffnet werden damit dieser ordnungsgemäß funktionieren kann.

-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT

Webserver

Wird ein Webserver betrieben muss der TCP-Port 80 für HTTP in der Firewall geöffnet werden.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

Ist der Webserver auch über HTTPS erreichbar, muss auch der TCP-Port 443 in der Firewall geöffnet sein.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

Mailserver

Bei einem Mailserver werden wie bei Samba verschiedene Protokolle eingesetzt. Zum Empfangen von Mails muss der Mailserver über SMTP (TCP-Port 25) erreichbar sein.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT

Zum Abrufen von E-Mails kann man POP3 oder IMAP verwenden. Wird POP3 verwendet, muss man den TCP-Port 110 in der Firewall öffnen.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT

Das mit SSL abgesicherte POP3s nutzt hingegen den TCP-Port 995.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT

IMAP lauscht in der Regel auf dem TCP-Port 143.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT

Bei IMAPs handelt es sich ebenfalls um eine mit SSL abgesicherte IMAP-Verbindung welche den TCP-Port 993 nutzt.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT

DNS-Server

Beim Domain Name Service (DNS) müssen der TCP-Port 53 und der UDP-Port 53 in der Firewall geöffnet werden.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

DHCP-Server

Wenn Sie einen DHCP-Server betreiben, sollten Sie den TCP-Port 68 öffnen damit Anfragen aus dem Netzwerk beim DHCP-Daemon ankommen können.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 68 -j ACCEPT

TFTP-Server

Das Trivial File Transfer Protocol (TFTP) wird zum Beispiel bei einem PXE-Server verwendet und nutzt den UDP-Port 69.

-A INPUT -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT

NTP-Server

Betreibt man einen Zeitserver welcher das Network Time Protocol (NTP) nutzt, muss man den UDP-Port 123 in der Firewall öffnen.

-A INPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT

Druckserver

Das Internet Printing Protocol (IPP) verwendet den TCP-Port 631 sowie den UDP-Port 631 und wird zum Beispiel von CUPS verwendet um Drucker im Netzwerk zur Verfügung zu stellen.

-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT

Rsync-Server

Rsync ist ein Protokoll zur Datensynchronisation und nutzt den TCP-Port 873.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT

OpenVPN-Server

Falls Sie einen OpenVPN-Server betreiben müssen Sie den TCP-Port 1194 öffnen. Beachten Sie hierbei, dass OpenVPN auch den UDP-Port 1194 nutzen kann wenn dies in der Konfigurationsdatei entsprechend definiert wurde.

-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT

TightVNC-Server

Wenn Sie einen TightVNC-Server betreiben, stellt dieser gegebenenfalls mehrere virtuelle Desktops zur Verfügung. Diese werden durch die Displaynummer identifiziert und verwenden jeweils einen eigenen TCP-Port. Standardmäßig verwendet TightVNC den TCP-Port 5900 für das virtuelle Display 0. Für jeden weiteren Desktop wird die Portnummer um eins erhöht. Damit Sie mit einem VNC-Viewer auf den ersten virtuellen Desktop zugreifen können, müssen Sie somit den TCP-Port 5901 in der Firewall freigeben.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 5901 -j ACCEPT

Xrdp-Server

Für den Zugriff auf den Xrdp-Server muss der TCP-Port 3389 in der Firewall geöffnet werden.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT


Dieser Eintrag wurde am 30.06.2013 erstellt und zuletzt am 25.09.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_36_2253.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer