[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian] Firewall blockiert Namensaufloesung

* Christian Schmidt <schmidtc@chemie.uni-hamburg.de> [010521 19:26]:
Hallo Christian,
nur so als Tipp:
http://www2.little-idiot.de/firewall/

Ich habe das mit iptables gemacht, und zwar so, daß alle von außen
kommenden Connections abgelehnt werden, alle von innen kommenden erlaubt
sind.
D.h. da die DNS-Anfrage ja ursprünglich von innen kommt, wird auch die
Antwort acceptiert.
...
## Default Policy
iptables -P INPUT DROP  #input drop
iptables -P FORWARD DROP        #forward drop
iptables -P OUTPUT DROP #output drop
...
## Erlaubt lo traffic -> solltest Du auch erlauben.
iptables -A INPUT -s $WORLD -d $WORLD -i lo -j ACCEPT
iptables -A OUTPUT -s $WORLD -d $WORLD -o lo -j ACCEPT

## Kette erstellen, die neue Verbindung blockt, es sei denn, sie kommen
von innen. Wenn von außen, Springe zu Kette allowin
iptables -N block
iptables -A block -m state --state INVALID -j RETURN
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! $EXTERNES_INTERFACE -j ACCEPT

# Syn-flood Schutz
iptables -A block -p tcp -i $EXTERNES_INTERFACE --syn -m limit --limit
1/s -j allowin

# Verstohlene Portscanner
iptables -A block -p tcp -i $EXTERNES_INTERFACE --tcp-flags
SYN,ACK,FIN,RST RST -m limit --limit 1/s -j allowin

#iptables -A block -m state --state NEW -p tcp -s $WORLD -i
$EXTERNES_INTERFACE -j allowin

# Ping of death
iptables -A block -p icmp -i $EXTERNES_INTERFACE --icmp-type
echo-request -m limit --limit 1/s -j ACCEPT

#iptables -A block -m state --state NEW -p icmp -i $EXTERNES_INTERFACE
-j ACCEPT
iptables -A block -j droplog
...
## Kette erstellen, die ausgehenden Traffic erlaubt
iptables -N allowout
iptables -A allowout -o $EXTERNES_INTERFACE -j ACCEPT
iptables -A allowout -j droplog
...
# Von INPUT und FORWARD Ketten zur Kette block springen
iptables -A INPUT -j block
iptables -A FORWARD -j block

# Von OUTPUT Kette zur Kette allowout springen
iptables -A OUTPUT -j allowout



Hoffe es hilft.
Gruß
Uli


-- 
Ulrich Wiederhold
Clarenbachstraße 1
50931 Köln
phone +49-221-2766619

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

848 eingetragene Mitglieder in dieser Liste.
Reply to: