Re: Einfacher Paketfilter
On Mon, 2005-03-14 at 12:55 +0100, Michael Hierweck wrote:
> Bruno Hertz wrote:
> > On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote:
> >>genügen folgende Filterregeln um ausgehend alles und eingehend nur icmp
> >>bzw. ssh zuzulassen?
> >>
> >>Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene
> >>Netze gekoppelt wird.
> >>
> >>iptables -F INPUT
> >>iptables -F FORWARD
> >>iptables -F OUTPUT
> >>iptables -P INPUT DROP
> >>iptables -P FORWARD DROP
> >>iptables -P OUTPUT DROP
> >>iptables -A OUTPUT -j ACCEPT
> >>iptables -A INPUT -i lo -j ACCEPT
> >>iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT
> >>iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j ACCEPT
> >>iptables -A INPUT -i eth+ -m state --state NEW -p tcp --destination-port 22 -j ACCEPT
> >>
> >>Habe ich etwas wichtiges übersehen?
> >>
> > Glaube nicht, sieht gut aus. Funktioniert was nicht?
> >
>
> Funtkioniert einwandfrei - ich überlegte, ob ich noch zusätzlich
> Anti-Spoofing-Regeln brauche.
Glaube nicht. 'Spoofing' meint ja in der Regel IP Adressen Spoofing. Das
spielt eine Rolle wenn du trusted Netzwerke/Rechner hast, deren
Adressen, wenn gespooft, dem Angreifer besondere Rechte geben. Deine
Filterregeln sind aber derzeit nur Interface- und nicht IP Adressen-
abhängig. Wenn du z.B. eine Regel hättest die ausschliesslich Adresse
123.456.789.012 Zugriff auf Port 22 geben würde, könntest du dich bei
Bedarf mit Spoofing beschäftigen (d.h. Interface und MAC prüfen, auf
dem entsprechende Pakete eingehen). Aber so wie sie sind, sehen deine
Regeln komplett aus. Ein Paranoider könnte fragen warum du allen Traffic
rauslässt und ihn nicht wenigstens loggst, aber auf Desktopsystemen ist
das natürlich sehr bequem, insbesondere bei Verwendung von Instant
Messaging, VoIP und anderem P2P Zeug.
Gruss, Bruno.
Reply to: