Re: Grafische Administration für iptables
Hallo Elmar,
vielen Dank für Deine Hilfe.
> Dazu ein paar schnelle Anmerkungen:
> REJECTen, was vor allem für ICMP-Pakete wichtig ist. DROP kommt vor
> allem für gespoofte RFC 1918-Adressen am externen Interface o.ä. in
> Frage.
Wie? Hast Du ein Beispiel für eine Regel?
> - Warum sind die Policy-Zeilen (-P) auskommentiert? Die sollten schon
> auf DROP stehen, und zwar alle am besten gleich am Anfang des Skripts,
Für die Testphase, da ich normal auf den Router nur über SSH zugreife und
iptables sich hervorragend dazu eignet, mich völlig auszuschliessen.
Das ist wegen der möglichen Blockade von localhost sogar noch wirkungsvoller
als wenn mein Hund am Netzwerkkabel spielt.
> damit man nicht für einen kurzen Zeitraum ohne Filter dasteht. Für den
> Fall, dass der Rechner auch NAT macht, kann man bei der Gelegenheit
> auch gleich die NAT-Tabellen leeren.
NAT sieht bei mir nur so aus:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
Ausschalten:
iptables -t nat -D POSTROUTING -o ippp0 -j MASQUERADE
echo 0 > /proc/sys/net/ipv4/ip_forward
> - Was ist mit Paketen mit einem NEW-State?
???
> - DNS braucht in aller Regel TCP/53 _und_ UDP/53. Auch da bietet sich
> das state-Modul an, um DNS-Pakete nach außen mit NEW,ESTABLISHED und
> nach innen mit ESTABLISHED zu erlauben. Im Moment akzeptierst du
> unabhängig vom Verbindungszustand alles, was über TCP/53 hereinkommt.
iptables -A INPUT -p udp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j
ACCEPT
ok?
--
mfg
Matthias Taube
Reply to: