[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]:[ISDN] Firewallregeln , SYN ACK FIN



Stefan Meister <stefan.meister@wtal.de> writes:

Für die Firewall habe ich ein neues Script in /etc/init.d erstellt,
welches die Standardregeln enthält. Außerdem musst du noch in
/etc/ppp/ip-{up,down}.d passende Scripte hinzufügen (dazu eigenet sich
ein evtl. vorhandenes 00-isdnutils für ip-up.d bzw. 99-isdnutils für
ip-down.d).

Was ist das Ziel der Übung? Nun, eine neue Verbindung soll nur von
meinem Rechner aus durch komplett neue Anfragen geöffnet werden können
(nicht durch alte, noch offene Verbindungen). Dabei ist das SYN-Bit
gesetzt und mit ipchains sieht das so aus:

ipchains -A output -j ACCEPT -p tcp -i ippp0 -d 0.0.0.0/0 -y

Allerdings gilt dies alles nur für TCP-Verbindungen. Damit auch
Anwendungen auf UDP- oder ICMP-Basis (Bsp. für letzteres: ping) mit
einer neuen Verbindung die Leitung öffnen können fehlt noch

ipchains -A output -j ACCEPT -p udp -i ippp0 -d 0.0.0.0/0
ipchains -A output -j ACCEPT -p icmp -i ippp0 -d 0.0.0.0/0

Voraussetzung für das Ganze ist natürlich, dass im Normalfall
jeglicher andere Datenverkehr über ippp0 verboten wird, also etwa
durch

ipchains -A output -j DENY [-l] -i ippp0

wobei das -l für logging steht.

In /etc/ppp/ip-up.d/00-isdnutils (das 00- ist wichtig, damit dieses
Script als erstes beim Verbindungsaufbau abgearbeitet wird) dann
entweder fein granuliert Firewall-Regeln für den Verkehr über ippp0
festlegen oder mal ganz simpel alles Datenverkehr über ippp0 erlauben:

PPP_NET=`echo $PPP_LOCAL | sed 's,\.[0-9]*\.[0-9]*$,.0.0/16,'`
ipchains -I output -j ACCEPT -i $PPP_IFACE -d 0.0.0.0/0
ipchains -I input -j ACCEPT -i $PPP_IFACE -d $PPP_NET

(PPP_IFACE wird durch /etc/ip-up festgelegt.)

In /etc/ppp/ip-down.d/isdnutils muss das Ganze natürlich wieder
ausgestellt werden:

PPP_NET=`echo $PPP_LOCAL | sed 's,\.[0-9]*\.[0-9]*$,.0.0/16,'`
ipchains -D output -j ACCEPT -i $PPP_IFACE -d 0.0.0.0/0
ipchains -D input -j ACCEPT -i $PPP_IFACE -d $PPP_NET

Wie gesagt, statt einfach alles zu erlauben, kann man hier natürlich
feinere Regeln setzen (siehe z.B. auch http://www.little-idiot.de/
oder Firewall-HOWTO).

-- 
Until the next mail...,
Stefan.
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     738


Reply to: