Gut, schließe mich deiner Aussage an, und halte nun meine Klappe 
Also, ich habe nun folgende iptables Regeln erstellt mit Hilfe der von CvH genannten Seite:
(192.168.0.0/16 heißt, dass alle IP's von 192.168.x.x gehen. Wenn man einschränken möchte, dann vielleicht auch 192.168.178.0/24 oder 192.168.1.0/24" machen. Dann wären Alle IP's mit 192.168.178.0x erlaubt)
#!/bin/sh
# Flush old rules, old custom tables
iptables --flush
iptables --delete-chain
# Set default policies for all three default chains
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Enable free use of loopback interfaces
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j DROP
# All TCP sessions should begin with SYN
iptables -A INPUT -p tcp ! --syn -m state --state NEW -s 192.168.0.0/16 -j DROP
# Accept inbound TCP packets
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.0.0/16 -j ACCEPT
# Allow inbound access to Samba shares
iptables -A INPUT -p udp -m udp --dport 137 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 138 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -s 192.168.0.0/16 -j ACCEPT
# Allow Kodi Webserver access through port 8080 from local network
iptables -A INPUT -p tcp --dport 8080 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -s 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
# Yatse EventServer (Cursor Steuerung usw): https://yatse.tv/redmine/projects/yatse/knowledgebase/articles/26
#UDP 9777
iptables -A INPUT -s 192.168.0.0/16 -m state --state NEW -p udp --dport 9777 -j ACCEPT
# Reject all other inbound - default deny unless explicitly allowed policy:
# This rule disrupts Yatse controls and Samba
iptables -A INPUT -j DROP
Alles anzeigen
Erfahrung damit:
- Im LAN: SMB share funzt
- Im LAN: Yatse funzt samt Webserver (Port 8080)
- Im LAN: SSH geht (Port 22)
- Von außen: SSH geht nicht
- Von außen: Webserver IP:8080 geht nicht
- Ping geht in Zeitüberschreitung auf
- Youtube funzt (von Yatse gesendet)
- IPTV funzt über VPN
- Portscanner http://www.dnstools.ch/port-scanner.html sagt, dass die gescannten Ports alle geschlossen sind
- NFS shares? Keine Ahnung, hab keine
- LCDproc geht. Also mein I2C LCD zeigt alles an, obwohl LCDproc auch über die Netzwerksnittstelle mit XBMC/KODI kommuniziert (glaube die # Enable free use of loopback interfacesiptables -A INPUT -i lo -j ACCEPT Regel erlaubt dies
Falls man sich versehentlich aus SSH ausgesperrt haben sollte, dann einfach in der GUI mit der Fernbedienung auf den Dateimanager gehen in .config Ordner und die autostart.sh beliebig umbenennen (Kontextmenü) und neustarten. Dann werden die Regeln beim nächsten Start nicht geladen und SSH geht wieder.
EDIT:
Hat jemand eine Idee wie man bei OE/LE die iptables loggen lassen kann? Also dass ich irgendwo nachsehen kann welche Zugriffe geblockt wurden? Ich glaube Syslog ist dafür eigentlich zuständig, aber das gibt es ja glaub ich in OpenELEC/LibreELEC nicht?
