Am Montag, 14. MÃrz 2005 13:22 schrieb Bruno Hertz: > On Mon, 2005-03-14 at 12:55 +0100, Michael Hierweck wrote: > > Bruno Hertz wrote: > > > On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote: > > >>genÃgen folgende Filterregeln um ausgehend alles und eingehend > > >> nur icmp bzw. ssh zuzulassen? > > >> > > >>Es handelt sich um ein Notebook, welche per eth0 (DHCP) an > > >> verschiedene Netze gekoppelt wird. > > >> > > >>iptables -F INPUT > > >>iptables -F FORWARD > > >>iptables -F OUTPUT > > >>iptables -P INPUT DROP > > >>iptables -P FORWARD DROP > > >>iptables -P OUTPUT DROP > > >>iptables -A OUTPUT -j ACCEPT > > >>iptables -A INPUT -i lo -j ACCEPT > > >>iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j > > >> ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j > > >> ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p tcp > > >> --destination-port 22 -j ACCEPT > > >> > > >>Habe ich etwas wichtiges Ãbersehen? > > > > > > Glaube nicht, sieht gut aus. Funktioniert was nicht? > > > > Funtkioniert einwandfrei - ich Ãberlegte, ob ich noch zusÃtzlich > > Anti-Spoofing-Regeln brauche. > > Glaube nicht. 'Spoofing' meint ja in der Regel IP Adressen Spoofing. > Das spielt eine Rolle wenn du trusted Netzwerke/Rechner hast, deren > Adressen, wenn gespooft, dem Angreifer besondere Rechte geben. Deine > Filterregeln sind aber derzeit nur Interface- und nicht IP Adressen- > abhÃngig. Wenn du z.B. eine Regel hÃttest die ausschliesslich Adresse > 123.456.789.012 Zugriff auf Port 22 geben wÃrde, kÃnntest du dich bei ^^^^^^^^^^^^^^^ Die Adresse ist geil ;-) *SCNR*
Ansonsten ACK -- Gruà ÂÂÂÂÂÂÂÂÂÂÂÂÂÂÂÂMaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. FÃr PM bitte den EmpfÃnger gegen den Namen in der Sig tauschen.
