[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Grafische Administration für iptables

Hi, 

> Elmar W. Tischhauser wrote:

> Tatsache, dass das /im Kernel/ implementierte Paketfiltern
> GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die
> Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
> konfigurierte Maschinen fahren zu können.

Es handelt sich um ein Hilfsmittel für die Konfiguration, nicht für den
Betrieb.

> Interessiert man sich dafür, welche "fremden" Pakete so alles aus dem
> WAN bei einem aufschlagen, kann man diese von Netfilter fein säuberlich
> loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten.

Im Moment arbeite ich mit
iptables -X

iptables -N logdrop
iptables -A logdrop -j LOG --log-prefix "IPTABLES Dead "
iptables -A logdrop -j DROP

# iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j logdrop

# iptables -P INPUT DROP
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i ippp+ -j logdrop

-- 
mfg
Matthias Taube
Reply to: