Re: [long] Re: Dienste "beschraenken"
Hallo!
* Guido Hennecke <debian-user-de@debian.dyndns.org> [020201 23:20]:
> At 01.02.2002, Christian Schmidt wrote:
> > udp 0 0 0.0.0.0:123 0.0.0.0:*
> > Das ist ntp (in meinem Fall chrony).
> > udp 0 0 0.0.0.0:67 0.0.0.0:*
> > Und das ist der bootp-Port, über den hier DHCP läuft.
>
> Kann man den nicht weiter konfigurieren?
in /etc/init.d/dhcp:
[am Anfang irgendwo]
INTERFACES=eth0
[dann ändern:]
case "$1" in
start)
start-stop-daemon --start --quiet --pidfile $DHCPDPID \
--exec /usr/sbin/dhcpd -- $INTERFACES
;;
stop)
start-stop-daemon --stop --quiet --pidfile $DHCPDPID
;;
start)
start-stop-daemon --stop --quiet --pidfile $DHCPDPID
sleep 2
start-stop-daemon --start --quiet --pidfile $DHCPDPID \
--exec /usr/sbin/dhcpd -- $INTERFACES
;;
> Mit UDP geht das nicht so einfach. Kannst Du auf deiner Installation zu
> Hause nicht auf einen solchen Dienst verzichten, oder eine Software
> waehlen, die es moeglich macht, auf eine interne IP Adresse zu binden,
> kannst Du schonmal folgende Regel als Vorlage verwenden:
>
> ipchains -A input -i ppp0 -p udp -d 0/0 :1024 -j REJECT
>
> Damit sind alle UDP Dienste, die sich auf einen privileged Port binden
> schonmal erschlagen.
>
> UPD Pakete oeberhalb 1024 zu verbieten ist prinzipiell keine gute Idee,
> weil es sich hierbei auch _Antworten_ auf _deine_ Anfragen
> (beispielsweise bei einem Nameserver) handeln kann.
Da hab ich mal eine Frage:
Was genau passiert, wenn ich iptables sage, er soll nur
UDP-Pakete durchlassen, die state ESTABLISHED oder RELATED
haben. (Diese Regel verwende ich gerade, hab mir aber
damals leider keinen Kommentar geschrieben, warum genau das
verwendet wird.)
Bietet das mehr Sicherheit und wenn, wieviel mehr?
Gruß,
Alex
--
Alexander Weiß, Germany alex@weissfam.de
Reply to: