Hallo Elmar,
vielen Dank f�r Deine Hilfe.
> Dazu ein paar schnelle Anmerkungen:
> REJECTen, was vor allem f�r ICMP-Pakete wichtig ist. DROP kommt vor
> allem f�r gespoofte RFC 1918-Adressen am externen Interface o.�. in
> Frage.
Wie? Hast Du ein Beispiel f�r eine Regel?
> - Warum sind die Policy-Zeilen (-P) auskommentiert? Die sollten schon
> auf DROP stehen, und zwar alle am besten gleich am Anfang des Skripts,
F�r die Testphase, da ich normal auf den Router nur �ber SSH zugreife und
iptables sich hervorragend dazu eignet, mich v�llig auszuschliessen.
Das ist wegen der m�glichen Blockade von localhost sogar noch wirkungsvoller
als wenn mein Hund am Netzwerkkabel spielt.
> damit man nicht f�r einen kurzen Zeitraum ohne Filter dasteht. F�r den
> Fall, dass der Rechner auch NAT macht, kann man bei der Gelegenheit
> auch gleich die NAT-Tabellen leeren.
NAT sieht bei mir nur so aus:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
Ausschalten:
iptables -t nat -D POSTROUTING -o ippp0 -j MASQUERADE
echo 0 > /proc/sys/net/ipv4/ip_forward
> - Was ist mit Paketen mit einem NEW-State?
???
> - DNS braucht in aller Regel TCP/53 _und_ UDP/53. Auch da bietet sich
> das state-Modul an, um DNS-Pakete nach au�en mit NEW,ESTABLISHED und
> nach innen mit ESTABLISHED zu erlauben. Im Moment akzeptierst du
> unabh�ngig vom Verbindungszustand alles, was �ber TCP/53 hereinkommt.
iptables -A INPUT -p udp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j
ACCEPT
ok?
--
mfg
Matthias Taube
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
