Himbeer-Pi + Owncloud + Iptables

613
user9821

Ich habe ein Himbeer-Pi, das ich verwende, um meine privaten Dateien in einer Cloud zu speichern (wie Dropbox)

Ich habe dieses Tutorial zum Konfigurieren des Pi verwendet https://www.pestmeester.nl/

Die IP-Tabellen wurden gemäß dem Tutorial konfiguriert:

*filter  # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT  # Accept all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow all outbound traffic - you can modify this to only allow certain traffic -A OUTPUT -j ACCEPT  # Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL). -A INPUT -p tcp --dport 80 -j ACCEPT -A INPUT -p tcp --dport 443 -j ACCEPT  # Allows SMTP access -A INPUT -p tcp --dport 25 -j ACCEPT -A INPUT -p tcp --dport 465 -j ACCEPT -A INPUT -p tcp --dport 587 -j ACCEPT  # Allows pop and pops connections # -A INPUT -p tcp --dport 110 -j ACCEPT # -A INPUT -p tcp --dport 995 -j ACCEPT  # Allows imap and imaps connections -A INPUT -p tcp --dport 143 -j ACCEPT -A INPUT -p tcp --dport 993 -j ACCEPT  # Allow SSH connections # The -dport number should be the same port number you set in sshd_config -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT  # Allow ping -A INPUT -p icmp --icmp-type echo-request -j ACCEPT  # Log iptables denied calls -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7  # Drop all other inbound - default deny unless explicitly allowed policy -A INPUT -j DROP -A FORWARD -j DROP  COMMIT

Iptables -L zeigt Chain INPUT-Ziel (Policy ACCEPT) als Ziel für das Quellziel fail2ban-ssh tcp an einem beliebigen Ort. Multiport dports ssh ACCEPT all - überall. REJECT all - überall Loopback / 8 ablehnen - überall und überall Status RELATED, ESTABLISHED ACCEPT tcp - überall und überall tcp dpt: http ACCEPT tcp - überall und überall tcp dpt: https ACCEPT tcp - überall und überall tcp dpt:Vorlage ACCEPT tcp - überall und überall tcp dpt: imap2 ACCEPT tcp - überall und überall tcp dpt: imaps ACCEPT tcp - überall und überall neu NEW tcp dpt: ssh ACCEPT : avg 5 / min Burst 5 Debugpräfix der LOG-Ebene "iptables denied:" DROP all - überallssh ACCEPT icmp - überall und überall. icmp echo-request LOG all - überall und überall. Begrenzung: Durchschnitt 5 / min. Burst 5 Debugpräfix auf LOG-Ebene "iptables denied:" DROP all - überall und überallssh ACCEPT icmp - überall und überall. icmp echo-request LOG all - überall und überall. Begrenzung: Durchschnitt 5 / min. Burst 5 Debugpräfix auf LOG-Ebene "iptables denied:" DROP all - überall und überall

Chain FORWARD (policy ACCEPT) target prot opt source destination DROP all -- anywhere anywhere  Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere  Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- anywhere anywhere

und iptables-save

# Generated by iptables-save v1.4.21 on Fri Jun 30 12:43:24 2017 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 -A INPUT -j DROP -A FORWARD -j DROP -A OUTPUT -j ACCEPT -A fail2ban-ssh -j RETURN COMMIT

Nun zu meinem Problem: Im Syslog habe ich viele Einträge wie das: Jun 30 12:00:46 raspberrypi kernel: [6978137.058941] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:c8:1f:66:21:0d:62:08:00:45:00:01:9b:16:66:00:00:80:11:af:dc SRC=192.168.178.103 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=5734 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:10 raspberrypi kernel: [6978160.864968] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8b:00:00:80:11:7f:06 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18315 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:10 raspberrypi kernel: [6978160.865463] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:6f:9b:00:00:80:11:e3:4d SRC=192.168.178.24 DST=192.168.178.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=28571 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:40 raspberrypi kernel: [6978190.866330] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8c:00:00:80:11:7f:05 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18316 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:40 raspberrypi kernel: [6978190.866884] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:6f:ae:00:00:80:11:e3:3a SRC=192.168.178.24 DST=192.168.178.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=28590 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:01:46 raspberrypi kernel: [6978197.138692] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:c8:1f:66:21:0d:62:08:00:45:00:01:9b:16:6e:00:00:80:11:af:d4 SRC=192.168.178.103 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=5742 PROTO=UDP SPT=17500 DPT=17500 LEN=391 Jun 30 12:02:10 raspberrypi kernel: [6978220.883154] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:99:b5:ec:e0:08:00:45:00:01:9b:47:8d:00:00:80:11:7f:04 SRC=192.168.178.24 DST=255.255.255.255 LEN=411 TOS=0x00 PREC=0x00 TTL=128 ID=18317 PROTO=UDP SPT=17500 DPT=17500 LEN=391

Von Zeit zu Zeit verliert das Pi seine Verbindung und das einzige, was die Verbindung wiederherstellt, ist der Neustart des Service Supervisor. Können diese beiden Probleme miteinander verbunden werden? Was kann ich tun, um die IP-Tabellen richtig zu konfigurieren? Mit dem Log mit diesen vielen Einträgen kann ich das Problem der owncloud nicht wirklich erkennen.

Ich hoffe wirklich, dass mir jemand helfen kann

1

1 Antwort auf die Frage

1
Dom

Sie können die Dropbox-Sendungen auf Ihrem Raspi ablehnen. Der 17500-Port wird von Dropbox auf einem anderen Computer verwendet.

Also vor der LOG-Regel hinzufügen: -A INPUT -p udp --dport 17500 -j DROP

Dann bricht das Raspi die Verbindung ab, ohne sie zu protokollieren.

ohhh vielen dank! Ich hätte nie an die Dropbox gedacht ... aber wahrscheinlich sind die beiden Probleme nicht verbunden. Haben Sie vielleicht eine Idee, wie ich den gelegentlich auftretenden Verbindungsverlust beheben könnte? Es ist wirklich schlecht, wenn ich im Urlaub bin und auf meine Dateien zugreifen muss, die auf der owncloud im Büro gespeichert sind user9821 vor 7 Jahren 0
Nein, es tut mir leid, Sie haben nicht genug Informationen. Sie müssen die Protokolle überprüfen, wenn der Pi seine Verbindung verliert. Dom vor 7 Jahren 0
Ok, ich werde mir die Protokolle das nächste Mal ansehen, wenn ich in meinem Büro bin. Das Problem ist, dass ich die Verbindung nicht neu starten kann, ohne am Büro-PC zu sein und Service Supervisor Restart in einen Cronjob zu setzen, scheint nicht zu helfen. Kennen Sie einen Weg, dass ich den Dienst mit dem Cronjob neu starten kann? Der Neustart des Dienstes alle 20 Minuten hilft nicht, wenn die Verbindung unterbrochen wird. Die manuelle Eingabe des Befehls ist jedoch hilfreich user9821 vor 7 Jahren 0
Ich denke, es gibt etwas Wichtigeres in Ihrem Problem. Sie müssen warten und die Protokolle überprüfen. Vielleicht nicht genügend Speicher, vielleicht etwas anderes, aber Sie werden in den Protokollen sehen. Wenn Sie den Dienst per cron neu starten, haben Sie Fehler? Dom vor 7 Jahren 0

Verwandte Probleme