Re: Ich brauche eine Firewall!
On Sun, Dec 15, 2002 at 11:53:08AM +0100, Markus Hansen wrote:
> Also, ich will emails abrufen können(wenn nicht anders vermerkt, dannnur
Vorab: nutze einen 2.4er Kernel. Stateful Inspection (wichtig und
sinnvoll) gibts erst seit iptables. Dann solltest Du Dich mit dem
Logging vertraut machen. Es hilft ungemein die notwendigen Pakete /
Ports freizugeben, wenn Du weisst, was Du brauchst.
Im Default ist alles zu verbieten und lediglich das Loopback
freizuschalten:
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -F
Für die interne Prozesskommunikation musst Du Loopack freischalten:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Beispiel für eMails über Pop3s:
iptables -A OUTPUT -p TCP -s 0/0 --sport 1024:65535 -d 0/0 \
--dport 995:995 -j ACCEPT
iptables -A INPUT -p 6 -s 0/0 --sport 995:995 -d 0/0 \
--dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# für pop3: 110 anstelle Port 995 usw.
> http, https,
siehe oben - nur mit Port 80 bzw. 443 anstelle 995 ,-)
> ssh (rein und raus),
# Ausgehende Verbindung zu fremdem SSH-Server
iptables -A OUTPUT -p TCP -d 0/0 --dport 22 \
-s 0/0 --sport 1024:65535 -o eth0 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 22 -d 0/0 --dport \
1024:65535 -m state --state RELATED,ESTABLISHED \
-i eth0 -j ACCEPT
# Eingehende Verbindung zum lokalen SSH Server
iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 \
-d 0/0 --dport 22 -i eth0 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
-s 0/0 --sport 22 -o eth0 -j ACCEPT
# Nach Möglichkeit für -s 0/0 bzw d 0/0 IP-Adresse der
# Rechner die auf lokalen SSH zugreifen sollen eingeben!
> ftp(raus, evtl. bald auch rein), auf
Arg. Wirklich? Wenn lokalen FTP Server dann bitte im aktiv Modus. Und
ausgehende FTP Verbindungen dagegen _nur_ passiv:
# Eingehender Zugriff auf lokalen FTP-Server (aktiver Modus)
iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 \
-d 0/0 --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
-s 0/0 --sport 20:21 -j ACCEPT
# Ausgehender Zugriff auf fremde FTP-Server (passiver Modus)
iptables -A OUTPUT -p TCP -d 0/0 --dport 21 \
-s 0/0--sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 21 -d 0/0 \
--dport 1024:65535 -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
-s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 \
--sport 1024:65535 -m state --state \
RELATED,ESTABLISHED -j ACCEPT
> gemountete FS auf dem Server zugreifen (rein & raus).
Was für ein FS? Samba? Apple Talk? NFS?
greetinXs,
Michael Hilscher
--
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds
Reply to: