Zur Startseite

Absicherung der Port-Sicherheit mit Iptables

Schutz sensibler Dienste mithilfe benutzerdefinierter Verifikationsketten.

Iptables ist das Standard-Befehlszeilentool zur Verwaltung der Netfilter-Firewall unter Linux. Es ermöglicht eine granulare Filterung des Datenverkehrs anhand spezifischer Kriterien. Der Schutz vor Port-Scans wird durch die Einrichtung einer „Whitelist" vertrauenswürdiger IP-Adressen für eingeschränkte Dienste umgesetzt.

Grundkonzepte

Eine effiziente Firewall-Verwaltung basiert auf drei Schlüsselelementen:

  • Tabelle (Table): Eine Gruppe funktionaler Chains (die filter-Tabelle ist standardmäßig aktiv).
  • Chain: Eine geordnete Abfolge von Regeln, die Pakete durchlaufen müssen (z. B. INPUT für eingehenden Datenverkehr).
  • Regel (Rule): Eine Menge von Bedingungen und eine Aktion. Entspricht ein Paket den Kriterien, wird eine Aktion wie ACCEPT oder DROP ausgeführt.

Benutzerdefinierte „antiscan"-Chain einrichten

Das Erstellen einer dedizierten antiscan-Chain ist eine bewährte Methode für ein zentralisiertes Zugriffsmanagement. So bleiben dienstspezifische Einschränkungen von der Haupt-INPUT-Chain getrennt.

1. Benutzerdefinierte Chain erstellen:

iptables -N antiscan

2. Vertrauenswürdige IP-Adressen zur Whitelist hinzufügen: Fügen Sie die IP-Adressen hinzu, denen der Zugriff auf eingeschränkte Ports erlaubt ist.

# Ersetzen Sie diese durch die tatsächlichen Administrator- oder Büro-IPs
iptables -A antiscan -s 1.1.1.1 -j ACCEPT
iptables -A antiscan -s 2.2.2.2 -j ACCEPT

3. Gesamten übrigen Datenverkehr ablehnen: Die letzte Regel in der Chain stellt sicher, dass nicht autorisierte IPs blockiert werden.

iptables -A antiscan -j DROP

4. Datenverkehr bestimmter Ports in die Antiscan-Chain umleiten: Datenverkehr auf sensiblen Ports wird zur Überprüfung in die benutzerdefinierte Chain weitergeleitet.

Für TCP-Ports (z. B. Datenbanken, Mailserver, Verwaltungspanels):

iptables -I INPUT -p tcp --match multiport --dports 25,3306,8083 -j antiscan

Für UDP-Ports (z. B. SNMP, RPC):

iptables -I INPUT -p udp --match multiport --dports 111,161 -j antiscan

Regeln persistent speichern

Standard-Iptables-Konfigurationen sind flüchtig und werden beim Neustart gelöscht. So stellen Sie die Persistenz sicher:

Debian / Ubuntu

iptables-save > /etc/iptables.rules
# Netzwerk-Startskript erstellen
echo -e '#!/bin/bash\niptables-restore < /etc/iptables.rules' > /etc/network/if-pre-up.d/iptablesup
chmod +x /etc/network/if-pre-up.d/iptablesup

Hinweis

In modernen Distributionen empfiehlt sich die Installation des Pakets iptables-persistent für eine automatisierte Verwaltung.

Wichtige Hinweise

  • Regelreihenfolge: Regeln werden sequenziell von oben nach unten verarbeitet. Sobald eine Übereinstimmung gefunden wird, werden nachfolgende Regeln nicht mehr geprüft.
  • SSH-Zugang: Stellen Sie sicher, dass der SSH-Port (Standard: 22) nicht versehentlich gesperrt wird, um den Verlust des Remote-Zugriffs zu vermeiden.
  • Tests: Die Konnektivität sollte sowohl von einer Whitelist-IP als auch von einer externen IP aus geprüft werden, um die Firewall-Logik zu bestätigen.

Hilfe

Bei Fragen oder wenn Sie Unterstützung brauchen, erreichen Sie uns jederzeit über das Ticketsystem — wir helfen Ihnen gern weiter!

Hilfe benötigt?Unsere Ingenieure helfen Ihnen kostenlos bei jeder Frage in wenigen MinutenKontaktieren Sie uns