On Mon, 2005-03-14 at 12:55 +0100, Michael Hierweck wrote: > Bruno Hertz wrote: > > On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote: > >>genÃgen folgende Filterregeln um ausgehend alles und eingehend nur icmp > >>bzw. ssh zuzulassen? > >> > >>Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene > >>Netze gekoppelt wird. > >> > >>iptables -F INPUT > >>iptables -F FORWARD > >>iptables -F OUTPUT > >>iptables -P INPUT DROP > >>iptables -P FORWARD DROP > >>iptables -P OUTPUT DROP > >>iptables -A OUTPUT -j ACCEPT > >>iptables -A INPUT -i lo -j ACCEPT > >>iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT > >>iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j ACCEPT > >>iptables -A INPUT -i eth+ -m state --state NEW -p tcp --destination-port 22 > >>-j ACCEPT > >> > >>Habe ich etwas wichtiges Ãbersehen? > >> > > Glaube nicht, sieht gut aus. Funktioniert was nicht? > > > > Funtkioniert einwandfrei - ich Ãberlegte, ob ich noch zusÃtzlich > Anti-Spoofing-Regeln brauche.
Glaube nicht. 'Spoofing' meint ja in der Regel IP Adressen Spoofing. Das spielt eine Rolle wenn du trusted Netzwerke/Rechner hast, deren Adressen, wenn gespooft, dem Angreifer besondere Rechte geben. Deine Filterregeln sind aber derzeit nur Interface- und nicht IP Adressen- abhÃngig. Wenn du z.B. eine Regel hÃttest die ausschliesslich Adresse 123.456.789.012 Zugriff auf Port 22 geben wÃrde, kÃnntest du dich bei Bedarf mit Spoofing beschÃftigen (d.h. Interface und MAC prÃfen, auf dem entsprechende Pakete eingehen). Aber so wie sie sind, sehen deine Regeln komplett aus. Ein Paranoider kÃnnte fragen warum du allen Traffic rauslÃsst und ihn nicht wenigstens loggst, aber auf Desktopsystemen ist das natÃrlich sehr bequem, insbesondere bei Verwendung von Instant Messaging, VoIP und anderem P2P Zeug. Gruss, Bruno. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
