Re: Ich brauche eine Firewall!

To: debian-user-german@lists.debian.org
Subject: Re: Ich brauche eine Firewall!
From: Michael Hilscher <macvampi@michael-hilscher.de>
Date: Sun, 15 Dec 2002 14:30:56 +0100
Message-id: <[🔎] 20021215143056.A27373@linbook>
In-reply-to: <[🔎] 20021215105511.0A91F1F3DF@murphy.debian.org>
References: <[🔎] 20021215102221.6611C1F445@murphy.debian.org> <20021215103920.18B233EFA6@mars.priv.schuetter.org> <[🔎] 20021215105511.0A91F1F3DF@murphy.debian.org>

On Sun, Dec 15, 2002 at 11:53:08AM +0100, Markus Hansen wrote:
> Also, ich will emails abrufen können(wenn nicht anders vermerkt, dannnur 
Vorab: nutze einen 2.4er Kernel. Stateful Inspection (wichtig und
sinnvoll) gibts erst seit iptables. Dann solltest Du Dich mit dem
Logging vertraut machen. Es hilft ungemein die notwendigen Pakete /
Ports freizugeben, wenn Du weisst, was Du brauchst.

Im Default ist alles zu verbieten und lediglich das Loopback
freizuschalten:
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -F

Für die interne Prozesskommunikation musst Du Loopack freischalten:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Beispiel für eMails über Pop3s:
iptables -A OUTPUT -p TCP -s 0/0 --sport 1024:65535 -d 0/0 \
         --dport 995:995 -j ACCEPT
iptables -A INPUT -p 6 -s 0/0 --sport 995:995 -d 0/0 \
         --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# für pop3: 110 anstelle Port 995 usw.

> http, https,
siehe oben - nur mit Port 80 bzw. 443 anstelle 995 ,-)

> ssh (rein und raus), 
# Ausgehende Verbindung zu fremdem SSH-Server
iptables -A OUTPUT -p TCP -d 0/0 --dport 22 \
         -s 0/0 --sport 1024:65535 -o eth0 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 22 -d 0/0 --dport \
         1024:65535 -m state --state RELATED,ESTABLISHED \
         -i eth0 -j ACCEPT

# Eingehende Verbindung zum lokalen SSH Server
iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 \
         -d 0/0 --dport 22 -i eth0 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
         -s 0/0 --sport 22 -o eth0 -j ACCEPT
# Nach Möglichkeit für -s 0/0 bzw d 0/0 IP-Adresse der
# Rechner die auf lokalen SSH zugreifen sollen eingeben!

> ftp(raus, evtl. bald auch rein), auf 
Arg. Wirklich? Wenn lokalen FTP Server dann bitte im aktiv Modus. Und
ausgehende FTP Verbindungen dagegen _nur_ passiv:

# Eingehender Zugriff auf lokalen FTP-Server (aktiver Modus)
iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 \
         -d 0/0 --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
         -s 0/0 --sport 20:21 -j ACCEPT

# Ausgehender Zugriff auf fremde FTP-Server (passiver Modus)
iptables -A OUTPUT -p TCP -d 0/0 --dport 21 \
         -s 0/0--sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 21 -d 0/0 \
         --dport 1024:65535 -m state --state \
         RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
         -s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 \
         --sport 1024:65535 -m state --state \ 
         RELATED,ESTABLISHED -j ACCEPT

> gemountete FS auf dem Server zugreifen (rein & raus).
Was für ein FS? Samba? Apple Talk? NFS?


greetinXs,
Michael Hilscher

-- 
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds

Reply to:

References:
- Ich brauche eine Firewall!
  - From: Markus Hansen <markhansen@gmx.de>
- Re: Ich brauche eine Firewall!
  - From: Markus Hansen <markhansen@gmx.de>

Prev by Date: Re: Postfix und Verteilung von Mail
Next by Date: kmail 1.5 / entschlüsseln-signieren
Previous by thread: Re: Ich brauche eine Firewall!
Next by thread: Re: Ich brauche eine Firewall!
Index(es):
- Date
- Thread