# Fragen zu ISPConfig3 Firewall -> IPtables



## Dirk67 (19. Feb. 2013)

2 kurze Fragen zur ISPConfig3 Firewall "Basic",
die Einträge/Ports dort finden sich ja in den IPtables Regeln wieder

1)
die IPtables werden sicher nur bei jedem Serverstart "neu initiiert"
wo befindet sich das dazu (von ISPConfig3) angelegte script ?
(bzw. über welchen Weg geschieht das ?)

2)
wie könnte ich diese Settings mit eigenen Regeln ergänzen ?
oder geht nur: entweder über ISPConfig3 oder manuell...
(schreibt evtl. ISPConfi3 das immer wieder über ?)


.


----------



## Till (19. Feb. 2013)

1) Es handelt sich um die Bastille Firwall. Du findest das Script in /etc/init.d und die Konfigurationsdatei in /etc/Bastille/

2) HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials - View Single Post - Adding rules to IPTables/Postfix ports


----------



## Dirk67 (20. Feb. 2013)

vielen Dank für die Antwort.

demnach nehme ich an, dass die Konfigurationsdatei in /etc/Bastille/ von ISPConfig3 geschrieben (überschrieben ?) wird ?

wenn ich jetzt in ISPConfig die Firewall deaktiviere
(die einzig mögliche FW-Regel pro Server),
ist dann Bastille auch deaktiviert (beim Neustart)
oder startet es immer noch mit Default-Regeln oder so ?


fail2ban wäre ja von einem deaktivierten Bastille nicht betroffen, steuert selber seine IPtables Einträge bei, oder ?


----------



## Till (20. Feb. 2013)

> demnach nehme ich an, dass die Konfigurationsdatei in /etc/Bastille/ von ISPConfig3 geschrieben (überschrieben ?) wird ?


Ja. Für manuelle Regeln gibt es daher den custom Folder.



> wenn ich jetzt in ISPConfig die Firewall deaktiviere
> (die einzig mögliche FW-Regel pro Server),
> ist dann Bastille auch deaktiviert (beim Neustart)


Ja.



> fail2ban wäre ja von einem deaktivierten Bastille nicht betroffen, steuert selber seine IPtables Einträge bei, oder ?


Ja.

Die Firewall braucht normalerweise auch nicht an sein, deshalb ist sie off per defualt. Denn auf Deinem Hosting Server sollten an sich nur Dienste an eth0 lauschen die auch öffentlich zugänglich sein sollen, daher bleibt nichts zum blocken für die Firewall übrig.


----------



## Dirk67 (20. Feb. 2013)

alles klar, vielen Dank noch mal !



> Die Firewall braucht normalerweise auch nicht an sein, deshalb ist sie  off per defualt. Denn auf Deinem Hosting Server sollten an sich nur  Dienste an eth0 lauschen die auch öffentlich zugänglich sein sollen,  daher bleibt nichts zum blocken für die Firewall übrig.


doch,
ssh und ftp z.B. lauschen natürlich auch an eth0, sollen aber nicht öffentlich (=china und konsorten) sein,
sondern z.B. nur von meiner IP (und/oder von bestimmten Telekom- und Vodafone IP-Bereichen) zugänglich sein. 
;-)

(8080 und 8081 brauchen auch nicht (voll) öffentlich sein usw... usw...)

Des weiteren kann man viele Grundmaßnahmen gegen DoS unternehmen mit entsprechend trickreicher IPTables-Konfiguration.
(DoS von normalen http(s) ist ja neuerdings offensichtlich zum Massensport geworden -> der Anfänger-Hacker verwendet dazu z.B. gerne "slowloris")


----------



## Till (20. Feb. 2013)

Richtig, das sind aber alles custom Regeln. Die kannst Su auch ohne die ispconfig Firewall setzen. Fail2ban ist ja auch kein teil der Firewall und utzt trotzdem iptables.


----------

