IPtables hinter Router sinnvoll?

Kargah

Cadet 3rd Year
Registriert
Juli 2012
Beiträge
49
Hallo,

da ich für ein paar Freunde und mich von zu Hause aus einen kleinen Gameserver(Minecraft) und TS3 Server betreiben möchte stelle ich mir die Frage ob ich den Server noch unter anderem mit IPtables absichern sollte.
Da sowieso nur die benötigten Ports vom Router weitergeleitet werden ist für mich der Nutzen davon nicht ersichtlich.
Daher nochmals die Frage: IPtables hinter Router sinnvoll?
Vielen Dank schon mal für eure Antworten.
 
Es kommt auf den Router an aber Iptables bietet auf alle Fälle mehr Möglichkeiten als eine Standard Routerfirewall weil du ja damit auch den ausgehenden Traffic filtern kannst. Wenn der Server leistungsfähig genug ist könnte man vielleicht auch noch über Snort als IPS nach denken.
 
Okay,handelt sich um eine Fritzbox 7490.
Das mit dem ausgehenden Traffic hatte ich mir auch schon gedacht, aber falls etwas nach außen geht was nicht nach außen soll ist der Schaden wohl schon passiert, weil jemand schon Zugriff von außen bekommen hat und dann dürfte es wohl kaum noch ins Gewicht fallen IPtables selbst umzukonfigurieren.
Snort höre ich jetzt zu ersten mal, aber scheint präventive Maßnahmen zu ergreifen, Netzwerkverkehr auf Anomalien überprüft etc. (nur grob, hab jetzt noch nicht soviel dazu gelesen)
 
Ist ja nicht bloß die Ausgangsfilterung Iptables kann viel mehr Paketpriorisierung usw. grundsätzlich würde ich niemals einen Linux Server ohne Iptables/Nftables betreiben auch wenn ein Router davor ist. Snort ist ein Opensource Intrusion Detection/Prevention System was in vielen kommerziellen oder Opensource Sicherheitsprodukten eingesetzt wird aber es braucht je nach Regelsatz ziemlich viel Ram wobei die Cpu nicht ganz soviel Bedeutung hat zumindest nicht bei dem "Neulandinternet" hier in Deutschland.
 
naja sry, aber die "Firewall" der Fritzboxen sind gelinde gesagt ein Witz ;p und sich rein auf eine NAT zu verlassen ist auch nicht besser ...
Die Fritzbox Firewall bietet zwar IP-Masquerading bzw. Network Address Translation (NAT), Stateful Packet Inspection und Packetfilter ... lässt aber grundsätzlich alles durch wenn eine Anfrage aus dem Heimnetz kommt, die Chance sich Malware böse Adware etc. einzufangen und darüber kompromitiert zu werden ist bei weitem höher als von aussen "gehackt" zu werden ;p Also genau das was besonders "hot" ist regelt die Fritzboxfirewall nicht oder nur ungenügend. Besser als garnix ;p klar.
 
Zuletzt bearbeitet:
Diesen Umstand hast du aber eigentlich jedem Soho Router. Ob Fritzbox oder sonstwas.
Vereinfacht ausgedrückt:
LAN -> Internet = praktisch keine Firewall
Internet -> LAN = Firewall vorhanden
Wie will man dieses Problem auch sauber lösen, wenn man keine Server Whitelist pflegen will? TCP nutzt nun mal für den Clientport wechselnde Portnummern, weshalb auch Freigaben von Innen nach Außen schwer werden. Hier ist eine reine Firewall die falsche Lösung, es ist die Client Sicherheit (z.B. u.a. Noscript, Anti-Virus, usw.) und an der SPI u.ä. gefragt. Man muss das "Einfangen" von Malware verhindern. Einmal eingefangen, kann sie sich so gut verstecken, dass man sie eh nie wieder sieht.
Zudem hat man dieses Problem auch ohne, dass man einen Server ins Internet hängt. Ist für den Angreifer nur schöner, wenn er ein Botnetz hat, in dem die Rechner 24h laufen, wobei auch das die Malware einfädeln könnte (selbstständiges Wakeup zu bestimmten zeiten, sofern der Stromstecker nicht gezogen wird).
Gleiche Fehler im System machen sich ja Remotesofware wie Teamviewer oder Webex zu nutze. Man kommt damit trotz Firewall und HTTP Proxies und SPI zu seinem RemotePC. Nur ist das ja dann meist gewollte "Malware".

@ TE: Wichtig ist, dass du bei der FB nicht als Portweiterleitung "Exposed Host" gewählt hast. Damit öffnest du Tür und Tor für jeden sondern nur explizit die benötigten Ports. "Exposed Host" wird gerne von "Spezialisten" empfohlen, weil sie meinen sie hätten Ahnung, haben aber keine.
GeoIP in der zusätzlichen Firewall einzustellen ist auch nicht schlecht, du wirst ja wohl eher mit Leuten aus Deutschland spielen wollen, als mit Leuten aus China. GeoIP kann zwar mittels Proxies auch umgangen werden, aber hält schon mal den ein oder anderen Angreifer fern.
Bei meinem Server werden seit dem 99 % der Angreifer fern gehalten, habe jetzt nur noch einmal pro Monat oder seltener z.B. eine Bruteforce-Attacke, deren IP dann auf die Ban-List kommt.
 
Zuletzt bearbeitet:
@Nicht ich
Also die Portweiterleitung ist nur für "andere Anwendungen" offen mit den jeweiligen Ports für Minecraft/TS.
GeoIP macht Sinn und habe ich selbst noch nicht dran gedacht, muss ich mir mal anschauen wie man das konfiguriert.

@Luxuspur
Mir ist durchaus bewusst das ein Router erstmal alle Anfragen von innen nach außen durchlässt, nur damit der Server erstmal solch eine Anfrage sende muss meiner Ansicht nach jemand diese von diesem Rechner aus senden, in dem Fall ich.
Aber TS/Minecraft dürften ja erstmal von sich aus nichts senden, die horchen ja nur auf ihren Ports nach Anfragen, falls dann jemand verbunden ist senden sie auch über den Port der sowieso offen wäre.
Und wenn ich eine andere Anfrage z.B. über die Paketquellen mit apt-get update // upgrade sollte es auch egal sein, weil der Port dafür eh offen sein sollte und es sich hierbei wohl um sichere Quellen handelt.

@xxxx
Snort sehe ich als durchaus sinnvoll an, werde ich wohl mal testen.Zumindest wenn es wenig CPU-Leistung verbraucht ist es durchaus interessant.Weil Ram ist genug vorhanden.

Allgemein denke ich das es durchaus Sinn macht IPtables zu verwenden, aber eher um sich gegen komprimierte PCs im Heimnetzwerk zu schützen.

Vielen Dank schon mal für eure ganzen Ratschläge.
 
Zurück
Oben