Hallo!
On 08 May 2004 at 09:44 +0200, Matthias Taube wrote:
> > Elmar W. Tischhauser wrote:
>
> > Tatsache, dass das /im Kernel/ implementierte Paketfiltern
> > GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die
> > Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
> > konfigurierte Maschinen fahren zu können.
>
> Es handelt sich um ein Hilfsmittel für die Konfiguration, nicht für den
> Betrieb.
Das wäre dann tatsächlich nicht so schlimm wie von mir angenommen, aber
trotzdem hochgradig überflüssig. Wie gesagt, der IP-Stack des Kernels
sollte unabhängig vom GUI arbeiten, und da Logdateien existieren,
braucht man schlicht keine Meldungsfenster.
> Im Moment arbeite ich mit
> iptables -X
>
> iptables -N logdrop
> iptables -A logdrop -j LOG --log-prefix "IPTABLES Dead "
> iptables -A logdrop -j DROP
>
> # iptables -P FORWARD DROP
> iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -j logdrop
>
> # iptables -P INPUT DROP
> iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -i ippp+ -j logdrop
Dazu ein paar schnelle Anmerkungen:
- Die Idee mit einer eigenen Chain fürs Loggen abgelehnter Pakete ist
gut. Allerdings sollte man nicht alles DROPen, sondern in der Regel
REJECTen, was vor allem für ICMP-Pakete wichtig ist. DROP kommt vor
allem für gespoofte RFC 1918-Adressen am externen Interface o.ä. in
Frage.
- Warum sind die Policy-Zeilen (-P) auskommentiert? Die sollten schon
auf DROP stehen, und zwar alle am besten gleich am Anfang des Skripts,
damit man nicht für einen kurzen Zeitraum ohne Filter dasteht. Für den
Fall, dass der Rechner auch NAT macht, kann man bei der Gelegenheit
auch gleich die NAT-Tabellen leeren.
- Was ist mit Paketen mit einem NEW-State?
- DNS braucht in aller Regel TCP/53 _und_ UDP/53. Auch da bietet sich
das state-Modul an, um DNS-Pakete nach außen mit NEW,ESTABLISHED und
nach innen mit ESTABLISHED zu erlauben. Im Moment akzeptierst du
unabhängig vom Verbindungszustand alles, was über TCP/53 hereinkommt.
- Fürs Logging und/oder Typ 8 ICMP-Pakete bietet es sich an, mit --limit
eine erlaubte Maximalrate vorzugeben.
Gruß,
Elmar
--
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
·······································································
Rien n'est stupide comme vaincre; la vraie gloire est convaincre.
-- Victor Hugo, Les Misérables
Attachment:
pgpLhCe2DsjiZ.pgp
Description: PGP signature