Re: SSH Port schließen bei ipmasq
Jochen Kaechelin wrote:
> Mal ne ganze andere Frage: ziehen Deine regeln überhaupt an?
> Was zeigt denn "iptables -L"? kannste die Ausgabe vielleicht mal
> posten?
>
>
Hier ist das Ergebnis der Standardinstallation von ipmasq, dann aus dem
examples/stronger alle files und eben mitlerweile
iptables -A INPUT -i eth1 -p tcp --dport 22 -j REJECT.
kaefer:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
REJECT tcp -- anywhere anywhere tcp dpt:ssh
reject-
with icmp-port-unreachable
ACCEPT all -- anywhere anywhere
LOG all -- 127.0.0.0/8 anywhere LOG level
warning
DROP all -- 127.0.0.0/8 anywhere
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- localhost/24 anywhere
ACCEPT !tcp -- anywhere BASE-ADDRESS.MCAST.NET/4
LOG all -- localhost/24 anywhere LOG level
warning
DROP all -- localhost/24 anywhere
ACCEPT all -- anywhere anywhere state
RELATED,ESTAB
LISHED
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- anywhere
dslb-088-072-133-172.pools.arcor-ip.net
LOG all -- anywhere anywhere LOG level
warning
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- localhost/24 anywhere
ACCEPT all -- anywhere anywhere state
RELATED,ESTAB
LISHED
LOG all -- anywhere localhost/24 LOG level
warning
DROP all -- anywhere localhost/24
LOG all -- anywhere anywhere LOG level
warning
DROP all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- anywhere localhost/24
ACCEPT !tcp -- anywhere BASE-ADDRESS.MCAST.NET/4
LOG all -- anywhere localhost/24 LOG level
warning
DROP all -- anywhere localhost/24
ACCEPT all -- anywhere 255.255.255.255
ACCEPT all -- dslb-088-072-133-172.pools.arcor-ip.net anywhere
LOG all -- anywhere anywhere LOG level
warning
DROP all -- anywhere anywhere
Leider ist mir noch die Struktur von ipmasq nicht richtig klar, sodass
ich noch kein richtiges Gefühl für den "Grad" der Sicherheit habe, darum
habe ich mich hier auf ShieldsUp verlassen. Gibt es sonst noch andere
Möglichkeiten?
Gruß
Frank
Reply to: