Ich versuche, einen Webserver einzurichten mit einemOdroid U3; als Betriebssystem habe ich Debian 7.4. Das Problem trat auf, als ich versuchte, die iptables-Regeln mit iptables-persistent zu laden. Ich verwende dieselbe Datei mit Regeln, die ich schon seit einiger Zeit verwende, aber aus irgendeinem Grund funktioniert sie jetzt nicht mehr (ich habe einen anderen Server mit Odroid U2 und Debian 7 und der funktioniert einwandfrei).
iptables-restore gibt in der Zeile mit dem COMMIT eine Fehlermeldung aus.
Ich habe das Problem auf den Teil zur Verhinderung von Brute-Force-Angriffen bei SSH eingegrenzt. Beim Versuch, diese Regeln manuell hinzuzufügen, erhalte ich die Meldung „iptables: Keine Kette/Ziel/Übereinstimmung mit diesem Namen“. Hier sind die Regeln:
:INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [8:1088] -A INPUT -i eth0 -p tcp -m multiport --dports 67,80,465 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m multiport --sports 67,80,465 -m state --state ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,67,80,465 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --dports 67,80,465 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "SSH brute force " -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p udp --dport 123 -j ACCEPT -A INPUT -p udp --sport 123 -j ACCEPT COMMIT
Was vermisse ich?
Vielen Dank im Voraus
Antwort1
Ich habe es herausgefunden!
Auf meinen anderen Maschinen hatte ich DebianKeuchendund die armfh-Version des iptables-Pakets war1.4.14
Das aktuelle System ist DebianJessiewo die Version ist1.4.21(neueste)
Irgendwo entlang der Zeile wurde das --set (und wie es aussieht der ganze „recent“-Teil) weggelassen.
Es wird eine andere Möglichkeit benötigt, um Brute-Force-Angriffe zu verhindern ...