Re: [Debian] Firewall blockiert Namensaufloesung

To: Debian-Mailingliste <debian-user-de@lehmanns.de>
Subject: Re: [Debian] Firewall blockiert Namensaufloesung
From: Udo Müller <info@cs-ol.de>
Date: Mon, 21 May 2001 20:17:19 +0200
Message-id: <[🔎] 20010521201719.A1040@router.ewetel.net>
Mail-followup-to: Debian-Mailingliste <debian-user-de@lehmanns.de>
In-reply-to: <[🔎] 20010521192657.A2203@server.linau.de>; from schmidtc@chemie.uni-hamburg.de on Mon, May 21, 2001 at 07:26:57PM +0200
References: <[🔎] 20010521192657.A2203@server.linau.de>

Hi Christian,

On Mon, May 21, 2001 at 07:26:57PM +0200, Christian Schmidt wrote:
> Hallo miteinander,
> momentan versuche ich, meinen Server mit ipchains nach außen hin ein 
> wenig abzudichten.
> Dabei wollte ich gerne nach dem Prinzip "alles, was nicht erlaubt ist, 
> ist verboten" fahren, sprich: Die Default Policy für input steht auf 

Das Beste, was du machen kannst...

> DENY, und ich öffne dann die Ports für die benötigten Dienste.
> Die Zeitschrift "Linux USER" hat in einer der letzten Ausgaben einen 
> Artikel zu diesem Thema gebracht, bei dem ich mich auch ein wenig 
> bedient habe.
> Dort wird auch zunächst einmal "alles dichtgemacht". Damit Antworten 
> auf DNS-Anfragen auch wieder ankommen, wird folgende Regel benutzt:
> 
> for NS in `/usr/local/bin/resolv-list`;do
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p udp -j ACCEPT
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p tcp -j ACCEPT
> done
> 
Ergänze diese Regeln mal um ein -l und setze die Default-Policy für input
auf ACCEPT und setze am Ende deines Firewall-Skriptes mal

ipchains -A input -d $LOCALIP -i $ISDN -j ACCEPT -l

Damit blockst du alle Pakete, die rein wollen, aber nicht dürfen und loggst
sie (-l) in /var/log/messages.

> [SNIP]

Rufe dann mal > tail -f /var/log/messages < auf und setze einen ping auf
einen Server deiner Wahl (auf den namen, versteht sich).

Jetzt wird in /var/log/messages geloggt, welche Pakete abgewiesen werden.
Dementsprechend was da steht, kannst du die ipchains-Ketten aufsetzen.

Falls du nicht weiter weißt, poste den Abschnitt mit den Meldungen aus der
/var/log/messages und wir sehen weiter.

Gruss Udo

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

847 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: Firewall blockiert Namensaufloesung
  - From: Christian Schmidt <schmidtc@chemie.uni-hamburg.de>

References:
- [Debian] Firewall blockiert Namensaufloesung
  - From: Christian Schmidt <schmidtc@chemie.uni-hamburg.de>

Prev by Date: Re: [Debian] Default Key bei GnuPG
Next by Date: Re: [Debian] Kein rsync mehr mit Debian Servern?
Previous by thread: [Debian] Firewall blockiert Namensaufloesung
Next by thread: Re: Firewall blockiert Namensaufloesung
Index(es):
- Date
- Thread