Firewall: Port blockieren und nur für einzelne IPs freigeben

Mit iptables und wenigen Befehlen kann man sehr leicht einen Port nur für einzelne IPs freigeben. In diesem Beispiel sperren wir den MySQL Port (Standard: 3306) für alle und geben einzelne IPs frei, die weiterhin darauf zugreifen dürfen. Bei wechselnden IPs müsste man die Regeln jedes Mal erneut anlegen.

Einzelne IPs freigeben
Zuerst geben wir alle IPs frei, die danach weiterhin zugreifen dürfen. So verhindern wird, dass die MySQL Verbindungen unterbrochen werden, wenn wir die Sperr-Regel hinzufügen. Beispielsweise geben wir nun 1.2.3.4 und 4.3.2.1 als IP für den MySQL-Port frei:

iptables -A INPUT -p tcp --src 1.2.3.4 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --src 4.3.2.1 --dport 3306 -j ACCEPT

Port nun für alle Anderen sperren
Nun sperren wir endgültig den MySQL Port für alle Anderen, die wir vorhin nicht freigegeben haben:

iptables -A INPUT -p tcp --dport 3306 -j DROP

IPv6 Protokoll
Sollte primär oder auch zusätzlich das neue IPv6-Protokoll verwendet werden, so müssen die Regeln ebenfalls für IPv6 eingestellt werden. Also geben wir erneut als ersten Schritt die IPv6 IPs frei:

ip6tables -A INPUT -p tcp --src 2a01:4f8:191:3481::1 --dport 3306 -j ACCEPT
ip6tables -A INPUT -p tcp --src 2a01:4f8:191:3481::2 --dport 3306 -j ACCEPT

…oder das gesamte /64 Subnetz mit dem Befehl:

ip6tables -A INPUT -p tcp --src 2a01:4f8:191:3481::/64 --dport 3306 -j ACCEPT

Am Ende müssen wir nun den Port für alle anderen Ipv6 Adressen ebenfalls blockieren:

ip6tables -A INPUT -p tcp --dport 3306 -j DROP

Hinweise

  • MySQL lauscht bei der Einstellung “bind-address 0.0.0.0” nur auf IPv4 und nicht auf IPv6. Damit MySQL auf allen IPv6 Interfaces lauscht, muss stattdessen der Wert “bind-address ::” angegeben werden.
  • Sollte eine Regel falsch hinzugefügt worden sein, muss man alle Regeln aus iptables entfernen und von erneut beginnen. Die Regeln lassen sich mit iptables -F bzw. ip6tables -F flushen (= leeren).
  • Mehrere Ports (Port-Bereiche) können mit einem Doppelpunkt definiert werden. Zum Beispiel Port 100 bis 200: ip6tables -A INPUT -p tcp --dport 100:200 -j DROP

Abschlusswort
Wie man sehen kann, gibt es zwischen IPv4 und IPv6 nur einen kleinen Unterschied: Zwar muss man unbedingt dafür ip6tables dafür verwenden.

Als großes Manko gilt leider, dass es unter den Linux Kernel 3.7 kein IPv6 NAT gibt -- das bedeutet, dass man nicht so einfach wie bei IPv4 einzelne Ports an andere IP Adressen weiterleiten kann. Es gibt Community Patches für Kernel Versionen unter 3.7, die es ebenfalls ermöglichen, nur ist dafür eine eigene Kompilation des Kernels erforderlich (was bei unerfahrenen Benutzern schlecht enden könnte!)

Wie das blockieren bzw. freigeben einzelner IPs (alle Ports) möglich ist, habe ich bereits kurz in einem eigenen Artikel erwähnt: Linux: IP mit iptables blockieren und freigeben

1 Comment

  1. son September 18, 2013 8:41 pm  Reply

    Sollte eine Regel falsch hinzugefügt worden sein, muss man alle Regeln aus iptables entfernen und von erneut beginnen. Die Regeln lassen sich mit iptables -F bzw. ip6tables -F flushen (= leeren).

    =====> Völliger Quatsch. Mit -D kann man einzelne Rules löschen.

Leave a Reply