Hi Christian, On Mon, May 21, 2001 at 07:26:57PM +0200, Christian Schmidt wrote: > Hallo miteinander, > momentan versuche ich, meinen Server mit ipchains nach außen hin ein > wenig abzudichten. > Dabei wollte ich gerne nach dem Prinzip "alles, was nicht erlaubt ist, > ist verboten" fahren, sprich: Die Default Policy für input steht auf
Das Beste, was du machen kannst... > DENY, und ich öffne dann die Ports für die benötigten Dienste. > Die Zeitschrift "Linux USER" hat in einer der letzten Ausgaben einen > Artikel zu diesem Thema gebracht, bei dem ich mich auch ein wenig > bedient habe. > Dort wird auch zunächst einmal "alles dichtgemacht". Damit Antworten > auf DNS-Anfragen auch wieder ankommen, wird folgende Regel benutzt: > > for NS in `/usr/local/bin/resolv-list`;do > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \ > -p udp -j ACCEPT > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \ > -p tcp -j ACCEPT > done > Ergänze diese Regeln mal um ein -l und setze die Default-Policy für input auf ACCEPT und setze am Ende deines Firewall-Skriptes mal ipchains -A input -d $LOCALIP -i $ISDN -j ACCEPT -l Damit blockst du alle Pakete, die rein wollen, aber nicht dürfen und loggst sie (-l) in /var/log/messages. > [SNIP] Rufe dann mal > tail -f /var/log/messages < auf und setze einen ping auf einen Server deiner Wahl (auf den namen, versteht sich). Jetzt wird in /var/log/messages geloggt, welche Pakete abgewiesen werden. Dementsprechend was da steht, kannst du die ipchains-Ketten aufsetzen. Falls du nicht weiter weißt, poste den Abschnitt mit den Meldungen aus der /var/log/messages und wir sehen weiter. Gruss Udo -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 847 eingetragene Mitglieder in dieser Liste.
