Linux 15.051 Themen, 107.230 Beiträge

Verfolgung starten Optionen

iptables einrichten

polytaen / 7 Antworten / Flachansicht Nickles

Hallo@all,
ich habe mich mit iptables aueinandergesetzt, allerdings steige ich noch nicht ganz durch.
Also ich will erstmal alles denien:
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

Und dann eben nur die Dienste zulassen, die ich brauche.
Die "forward" brauch ich eigentlich eh nicht (glaube ich).
Nun, alles, was ich zulassen will ist:
mail, http (kein server, nur surfen), icq (kxicq) und DNS müssen funktioinieren. Ansonsten soll der Rechner "unsichbar" sein.

Hat jemand sinnvolle Regeln für sowas parat? Ein script kann ich daraus basteln, das sollte kein Problem sein. Eventuell dokumentierte Regeln wären auch nicht schlecht.
Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Hallo, Poly Erst einmal: Was willst du nehmen? Im Titel schreibst du ... Klaus_T
Hi Klaus, nein ich meinte schon iptables. Bin aber etwas verwirrt gewesen, ... polytaen
Erklaere erst mal dein Netzwerk. Hast du in der Firma ein Netzwerk, das ... Klaus_T
Ok, habe verstanden. Russels Howto hat mich nicht wirklich weitergebracht, ... polytaen
Klaus_T polytaen „Ok, habe verstanden. Russels Howto hat mich nicht wirklich weitergebracht, da er...“
Optionen

>Gibt es denn einen verbünftigen Grund ICMP nicht zu blocken.

Natuerlich: Die RFC's. Damit alles richtig funktioniert, muss ICMP auch funktionieren. Schau mal:

Wenn ich ein Ping verschicke und bekomme als Antwort ein Echo-Request,
weiss ich, alles in Ordnung, der Rechner ist an.
Wenn ich ein Ping verschicke und bekomme anstatt des Echo-Request ein
Destination-Unreachable, weiss ich, da ist kein Rechner, der letzte Router
hat mir das gemeldet.
Wenn ich ein Ping verschicke und bekomme gar nichts, sind entweder alle
Anfragen in den Weiten des Netzes verschwunden (sehr unwahrscheinlich)
oder der Empfaenger will sich hinter einer Firewall verstecken.
Der letzte Router hat ja in seiner Routing-Tabelle deinen Rechner drin,
also kuemmert er sich nicht darum, ob du Antwortest oder nicht, dass ist
ja deine Sache. Ist dein Rechner nicht mehr dort aufgefuehrt, antwortet
er, eben mit einem Destination-Unreachable.

Lese die RFC's, fange mit rfc792 an (ICMP).
Das ist wie bei einem kleinen Kind, dass meint, wenn es sich die Augen zuhaelt, kann man es nicht sehen. Das funktioniert nicht. Blocke mal alles ab und mache eine FTP-Verbindung nach einem Server im Internet: Du wirst sehen, das es lange dauert, bis der deine Anfrage annimmt. Schaltest du jetzt z.B. den ident-port (113) frei, bekommst du sofort eine Verbindung.
Zusaetzlich provozierst du viel Traffic, da manche Rechner nicht nach 4 Versuchen aufgeben, sondern immer weiter Anfragen machen. Gib ihm eine Antwort und er gibt Ruhe.

Uebrigens, wenn der sshd nicht von aussen (Internet) ansprechbar sein soll, bind ihn auf deine Netzwerkkarte, also nicht auf 0.0.0.0, sondern die Ip, die dein Rechner hat. Das geht in der sshd_config.
ICQ ist natuerlich schlecht, das ist per se ein Sicherheitsloch.

Klaus

bei Antwort benachrichtigen
Hi! evtl suchst du genau das ... wobei der zweite artikel IMHO geeigneter ... robsn76
Ja, vielen Dank, sieht nicht schlecht aus. Bis denne poly polytaen