Re: Einfacher Paketfilter
Am Montag, 14. März 2005 13:22 schrieb Bruno Hertz:
> On Mon, 2005-03-14 at 12:55 +0100, Michael Hierweck wrote:
> > Bruno Hertz wrote:
> > > On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote:
> > >>genügen folgende Filterregeln um ausgehend alles und eingehend
> > >> nur icmp bzw. ssh zuzulassen?
> > >>
> > >>Es handelt sich um ein Notebook, welche per eth0 (DHCP) an
> > >> verschiedene Netze gekoppelt wird.
> > >>
> > >>iptables -F INPUT
> > >>iptables -F FORWARD
> > >>iptables -F OUTPUT
> > >>iptables -P INPUT DROP
> > >>iptables -P FORWARD DROP
> > >>iptables -P OUTPUT DROP
> > >>iptables -A OUTPUT -j ACCEPT
> > >>iptables -A INPUT -i lo -j ACCEPT
> > >>iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j
> > >> ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j
> > >> ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p tcp
> > >> --destination-port 22 -j ACCEPT
> > >>
> > >>Habe ich etwas wichtiges übersehen?
> > >
> > > Glaube nicht, sieht gut aus. Funktioniert was nicht?
> >
> > Funtkioniert einwandfrei - ich überlegte, ob ich noch zusätzlich
> > Anti-Spoofing-Regeln brauche.
>
> Glaube nicht. 'Spoofing' meint ja in der Regel IP Adressen Spoofing.
> Das spielt eine Rolle wenn du trusted Netzwerke/Rechner hast, deren
> Adressen, wenn gespooft, dem Angreifer besondere Rechte geben. Deine
> Filterregeln sind aber derzeit nur Interface- und nicht IP Adressen-
> abhängig. Wenn du z.B. eine Regel hättest die ausschliesslich Adresse
> 123.456.789.012 Zugriff auf Port 22 geben würde, könntest du dich bei
^^^^^^^^^^^^^^^
Die Adresse ist geil ;-) *SCNR*
Ansonsten ACK
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: