[OpenVPN] [Ubuntu] reguły iptables dla logowania się SSH oraz FTP

Otak · 3 Wrzesień 2017 09:17

Jak powinienem sonfigurować reguły iptables aby możliwy był ruch wychodzący i przychodzący po połączeniu się z VPN do:

Logowania sie SSH
Korzystania z FTP.

roobal · 3 Wrzesień 2017 09:33

Po nawiązaniu sesji VPN logujesz się adresem lokalnym. Jak wygląda konfiguracja sieci, w ktorej jest Ubuntu? Masz ustawione jakieś reguły iptables?

Skobfigurowaleś porty pasywne w konfiguracji FTP?

Jeśli chodzi o ruch przychodzący, to w łańcuchu input akceptujesz ruch na port docelowy. Jeśli przed Ubuntu jest system z iptables, to łańcuch forward. Ruch wychodzący dotyczy nawiązywania połączeń z maszyny. Tu zostawiasz domyślnie accept lub zezwalasz na nawiazywanie nowych połączeń i ruch z połączeń już nawiązanych.

Otak · 3 Wrzesień 2017 09:49

Istniejące reguły iptables.

-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-logging-allow
-N ufw-logging-deny
-N ufw-not-local
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-skip-to-policy-forward
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-user-forward
-N ufw-user-input
-N ufw-user-limit
-N ufw-user-limit-accept
-N ufw-user-logging-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-output
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A f2b-sshd -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -p udp -m udp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 3389 -j DROP
-A ufw-user-input -p udp -m udp --dport 3389 -j DROP
-A ufw-user-input -p tcp -m tcp --dport 2013 -j DROP
-A ufw-user-input -p udp -m udp --dport 2013 -j DROP
-A ufw-user-input -s VPN_IP/32 -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -s 10.8.0.1/32 -p tcp -m tcp --dport 1194 -j ACCEPT
-A ufw-user-input -s 10.8.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -s 10.8.0.2/32 -p tcp -m tcp --dport 1194 -j ACCEPT
-A ufw-user-input -s 10.8.0.2/32 -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -s 10.8.0.2/32 -p tcp -m tcp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -s 10.8.0.2/32 -p udp -m udp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -s 10.8.0.1/32 -p tcp -m tcp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -s 10.8.0.1/32 -p udp -m udp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -s VPN_IP/32 -p tcp -m tcp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -s VPN_IP/32 -p udp -m udp --dport SSH_PORT -j ACCEPT
-A ufw-user-input -s 10.8.0.2/32 -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -s 10.8.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 21 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 21 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 2012 -j DROP
-A ufw-user-input -p udp -m udp --dport 2012 -j DROP
-A ufw-user-input -p tcp -m tcp --dport 20 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 20 -j ACCEPT
-A ufw-user-input -s VPN_IP/32 -j ACCEPT
-A ufw-user-input -s 10.8.0.0/24 -j ACCEPT
-A ufw-user-input -s 10.8.0.3/32 -j ACCEPT
-A ufw-user-input -s 10.8.0.4/32 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j DROP
-A ufw-user-input -p udp -m udp --dport 22 -j DROP
-A ufw-user-input -p tcp -m tcp --dport 80 -j DROP
-A ufw-user-input -p udp -m udp --dport 80 -j DROP
-A ufw-user-input -p tcp -m tcp --dport 5900 -j DROP
-A ufw-user-input -p udp -m udp --dport 5900 -j DROP
-A ufw-user-input -p tcp -m tcp --dport 10000 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 10000 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT

Jestem początkującym użytkownikiem.

Jak sprawdzić czy czy mam porty pasywne FTP?
Jak zaakceptować ruch na port docelowy i inne połączenia o których piszesz pod pytaniem o FTP?

Jeśli chodzi o ruch przychodzący, to w łańcuchu input akceptujesz ruch na port docelowy. Jeśli przed Ubuntu jest system z iptables, to łańcuch forward. Ruch wychodzący dotyczy nawiązywania połączeń z maszyny. Tu zostawiasz domyślnie accept lub zezwalasz na nawiazywanie nowych połączeń i ruch z połączeń już nawiązanych.

roobal · 3 Wrzesień 2017 11:26

Straszny śmietnik masz w IPTables. Jeśli używasz skryptów typu Fail2Ban, które robią właśnie taki śmietnik, lepiej tego nie ruszaj lub zrezygnuj z Fail2Ban i skonfiguruj iptables ręcznie. Ja stosuję wszędzie takie podstawowe reguły. UWAGA! Zanim je zastosujesz, upewnij się, że dodałeś swoje IP do wyjątków, bo odetniesz sobie dostęp do serwera.

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

## W tym miejscu dodajesz reguły zezwalające na ruch. Ponizej przyklad. ##
# iptables -A INPUT -p tcp -s X.X.X.X --dport 20:22 -j ACCEPT
# iptables -A INPUT -p tcp -s X.X.X.X --dport 40000:50000 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

X.X.X.X to IP, z którego dozwolone jest łączenie się na porty 20, 21, 22 i 40000 do 50000 (załóżmy, że takie porty pasywne ustawisz w FTP). Wówczas fail2 ban jest Tobie zbędny. Lepiej jest wyłączyć dostęp do SSH i włączać go na żądanie poprzez tak zwany port knocking.

Nie wiem jaki serwer FTP postawiłeś. Podejrzewam, że popularny ProFTPd. W proftpd.conf podajesz dyrektywę PassivePorts.