Hallo! On 08 May 2004 at 09:44 +0200, Matthias Taube wrote: > > Elmar W. Tischhauser wrote: > > > Tatsache, dass das /im Kernel/ implementierte Paketfiltern > > GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die > > Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend > > konfigurierte Maschinen fahren zu können. > > Es handelt sich um ein Hilfsmittel für die Konfiguration, nicht für den > Betrieb. Das wäre dann tatsächlich nicht so schlimm wie von mir angenommen, aber trotzdem hochgradig überflüssig. Wie gesagt, der IP-Stack des Kernels sollte unabhängig vom GUI arbeiten, und da Logdateien existieren, braucht man schlicht keine Meldungsfenster. > Im Moment arbeite ich mit > iptables -X > > iptables -N logdrop > iptables -A logdrop -j LOG --log-prefix "IPTABLES Dead " > iptables -A logdrop -j DROP > > # iptables -P FORWARD DROP > iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -j logdrop > > # iptables -P INPUT DROP > iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -p tcp --dport 53 -j ACCEPT > iptables -A INPUT -i ippp+ -j logdrop Dazu ein paar schnelle Anmerkungen: - Die Idee mit einer eigenen Chain fürs Loggen abgelehnter Pakete ist gut. Allerdings sollte man nicht alles DROPen, sondern in der Regel REJECTen, was vor allem für ICMP-Pakete wichtig ist. DROP kommt vor allem für gespoofte RFC 1918-Adressen am externen Interface o.ä. in Frage. - Warum sind die Policy-Zeilen (-P) auskommentiert? Die sollten schon auf DROP stehen, und zwar alle am besten gleich am Anfang des Skripts, damit man nicht für einen kurzen Zeitraum ohne Filter dasteht. Für den Fall, dass der Rechner auch NAT macht, kann man bei der Gelegenheit auch gleich die NAT-Tabellen leeren. - Was ist mit Paketen mit einem NEW-State? - DNS braucht in aller Regel TCP/53 _und_ UDP/53. Auch da bietet sich das state-Modul an, um DNS-Pakete nach außen mit NEW,ESTABLISHED und nach innen mit ESTABLISHED zu erlauben. Im Moment akzeptierst du unabhängig vom Verbindungszustand alles, was über TCP/53 hereinkommt. - Fürs Logging und/oder Typ 8 ICMP-Pakete bietet es sich an, mit --limit eine erlaubte Maximalrate vorzugeben. Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· Rien n'est stupide comme vaincre; la vraie gloire est convaincre. -- Victor Hugo, Les Misérables
Attachment:
pgpLhCe2DsjiZ.pgp
Description: PGP signature