On Sun, Feb 21, 2010 at 11:31:40AM +0100, Peter Lohmann wrote: > Hi! > > Gibt es eigentlich irgendeine Art Assistent für die Definition von Firewall > (iptables) Regeln - am Besten einen, der ein Basic Ruleset z.B. gleich > mitbringt?
Was ist denn so schwer an iptables das man da einen assistenten braucht? Wenn man eine Kiste beschuetzen will die selber im Netz steht (Nicht hinter NAT) dann einfach regeln in die INPUT table. Wenn es drum geht kisten hinter diesem Router zu beschuetzen dann dinge in die FORWARD table. Wenn man NAT macht kann man die FORWARD table ignorieren es sei denn man ist so paranoid auch ausgehenden traffic beschraenken zu wollen. Wenn man Gedanklich so weit ist besteht eine default table (mit connection tracking d.h. stateful) aus 1) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 2) iptables -A INPUT -m state --state NEW -i lo -j ACCEPT 3) iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT 4) iptables -A INPUT -m state --state NEW -p icmp -j ACCEPT 5) iptables -A INPUT -j REJECT --reject-with=icmp-admin-prohibited 1) Alles zulassen und forwarden an paketen was wir bereits kennen oder was connection maessig dazu gehoert - ist zum beispiel bei FTP interessant. 2) Alles von Localhost erlauben 3) Einzige ALLOW regel fuer einen port - D.h. tcp port 22 (ssh) lasse ich zu und durch (-m state --state NEW) erzeuge ich fuer diese connection einen state der dann bei folgenden paketen durch regel 1) abgefruehstueckt wird. 4) ICMP erlauben. Wichtig fuer alle arten von Netzwerktraffic, nicht nur PING. Z.b. Network Unreachable, Host Unreachable, Port unreachable. 5) Alles andere rejected mit einem vernuenftigen ICMP code. Fuer alle ports die man dann noch zusaetzlich erlauben will (oder protokolle) will man dann noch die regel 3 wiederholen fuer andere ports - 80, 25 oder auch die protokolle (nicht ports) 50/51 (IPSec). Feddich - FORWARD regel sieht im prinzip genauso aus - fuer 90% der Anwender aber irrelevant da genattet wird und ich eh von aussen nach innen nicht durchkommen kann "dank" NAT ... Flo -- Florian Lohoff [email protected] "Es ist ein grobes Missverständnis und eine Fehlwahrnehmung, dem Staat im Internet Zensur- und Überwachungsabsichten zu unterstellen." - - Bundesminister Dr. Wolfgang Schäuble -- 10. Juli in Berlin
signature.asc
Description: Digital signature
-- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
