Hallo! On 08 May 2004 at 20:52 +0200, Matthias Taube wrote: > > Dazu ein paar schnelle Anmerkungen: > > REJECTen, was vor allem für ICMP-Pakete wichtig ist. DROP kommt vor > > allem für gespoofte RFC 1918-Adressen am externen Interface o.ä. in > > Frage. > Wie? Hast Du ein Beispiel für eine Regel? Wenn am externen Interface Pakete auftauchen, welche eine Source-IP eingetragen haben, die im Internet nicht geroutet wird, so sollte man diese droppen (REJECT macht hier ausnahmsweise keinen Sinn, da die Absenderadresse ja unerreichbar ist), um nicht auf Spoofing-Versuche hereinzufallen, welche deiner Firewall/deinen Diensten vortäuschen wollen, die Pakete des Angreifers kämen aus dem LAN. Eine passende Regel wäre zum Beispiel: iptables -A INPUT -i $externes_interface -s 10.0/8 -j logdrop usw. für 127.0/8, 172.16.0/12, 192.168.0/16. > > - Warum sind die Policy-Zeilen (-P) auskommentiert? Die sollten schon > > auf DROP stehen, und zwar alle am besten gleich am Anfang des Skripts, > Für die Testphase, da ich normal auf den Router nur über SSH zugreife und > iptables sich hervorragend dazu eignet, mich völlig auszuschliessen. > Das ist wegen der möglichen Blockade von localhost sogar noch wirkungsvoller > als wenn mein Hund am Netzwerkkabel spielt. :-) Trotzdem kann es sinnvoll sein, die Policies am Anfang vor dem Flushen der Chains stehen zu haben, das wollte ich eigentlich vorschlagen. > > damit man nicht für einen kurzen Zeitraum ohne Filter dasteht. Für den > > Fall, dass der Rechner auch NAT macht, kann man bei der Gelegenheit > > auch gleich die NAT-Tabellen leeren. zum Beispiel: iptables -t nat -F > > - Was ist mit Paketen mit einem NEW-State? Damit meinte ich neu aufgebaute Verbindungen aus dem LAN. > > - DNS braucht in aller Regel TCP/53 _und_ UDP/53. Auch da bietet sich > > das state-Modul an, um DNS-Pakete nach außen mit NEW,ESTABLISHED und > > nach innen mit ESTABLISHED zu erlauben. Im Moment akzeptierst du > > unabhängig vom Verbindungszustand alles, was über TCP/53 hereinkommt. > iptables -A INPUT -p udp --dport 53 -m state --state ESTABLISHED -j ACCEPT > iptables -A INPUT -p tcp --dport 53 -m state --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j > ACCEPT > iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j > ACCEPT > > ok? Ja, wobei die ESTABLISHED-Rückrichtung ja schon von einer allgemeineren Regel erschlagen werden kann. Außerdem kann es nicht schaden, bei (fast) jeder solcher Regel noch explizit das Netzwerk-Interface anzugeben (-i|-o). Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· What is wanted is not the will to believe, but the will to find out - which is the exact opposite. -- Bertrand Russell
Attachment:
pgpEgk5Yx0w8m.pgp
Description: PGP signature