Re: Einfacher Paketfilter
Michael Hierweck <[EMAIL PROTECTED]> wrote: > Hallo, > > genügen folgende Filterregeln um ausgehend alles und eingehend nur icmp > bzw. ssh zuzulassen? > > Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene > Netze gekoppelt wird. Ist dafür eine Firewall nötig? Hast du Dienste laufen, die über eth0 nicht erreichbar seien sollen? Wenn nicht, dann räume lieber netstat -taup auf und arbeite ohne Firewall. > iptables -P OUTPUT DROP + > iptables -A OUTPUT -j ACCEPT = iptables -P OUTPUT ACCEPT > iptables -A INPUT -i eth+ -m state --state NEW -p tcp > --destination-port 22 -j ACCEPT Du kannst auch ssh statt 22 schreiben. > Habe ich etwas wichtiges übersehen? Ich denke nicht. Jörg. -- Man(n) sollte nie einer Frau widersprechen ! Man(n) sollte immer warten, bis sie es selbst erledigt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfacher Paketfilter
Am Montag, 14. MÃrz 2005 13:22 schrieb Bruno Hertz: > On Mon, 2005-03-14 at 12:55 +0100, Michael Hierweck wrote: > > Bruno Hertz wrote: > > > On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote: > > >>genÃgen folgende Filterregeln um ausgehend alles und eingehend > > >> nur icmp bzw. ssh zuzulassen? > > >> > > >>Es handelt sich um ein Notebook, welche per eth0 (DHCP) an > > >> verschiedene Netze gekoppelt wird. > > >> > > >>iptables -F INPUT > > >>iptables -F FORWARD > > >>iptables -F OUTPUT > > >>iptables -P INPUT DROP > > >>iptables -P FORWARD DROP > > >>iptables -P OUTPUT DROP > > >>iptables -A OUTPUT -j ACCEPT > > >>iptables -A INPUT -i lo -j ACCEPT > > >>iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j > > >> ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j > > >> ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p tcp > > >> --destination-port 22 -j ACCEPT > > >> > > >>Habe ich etwas wichtiges Ãbersehen? > > > > > > Glaube nicht, sieht gut aus. Funktioniert was nicht? > > > > Funtkioniert einwandfrei - ich Ãberlegte, ob ich noch zusÃtzlich > > Anti-Spoofing-Regeln brauche. > > Glaube nicht. 'Spoofing' meint ja in der Regel IP Adressen Spoofing. > Das spielt eine Rolle wenn du trusted Netzwerke/Rechner hast, deren > Adressen, wenn gespooft, dem Angreifer besondere Rechte geben. Deine > Filterregeln sind aber derzeit nur Interface- und nicht IP Adressen- > abhÃngig. Wenn du z.B. eine Regel hÃttest die ausschliesslich Adresse > 123.456.789.012 Zugriff auf Port 22 geben wÃrde, kÃnntest du dich bei ^^^ Die Adresse ist geil ;-) *SCNR* Ansonsten ACK -- Gruà MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. FÃr PM bitte den EmpfÃnger gegen den Namen in der Sig tauschen.
Re: Einfacher Paketfilter
On Mon, 2005-03-14 at 12:55 +0100, Michael Hierweck wrote: > Bruno Hertz wrote: > > On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote: > >>genÃgen folgende Filterregeln um ausgehend alles und eingehend nur icmp > >>bzw. ssh zuzulassen? > >> > >>Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene > >>Netze gekoppelt wird. > >> > >>iptables -F INPUT > >>iptables -F FORWARD > >>iptables -F OUTPUT > >>iptables -P INPUT DROP > >>iptables -P FORWARD DROP > >>iptables -P OUTPUT DROP > >>iptables -A OUTPUT -j ACCEPT > >>iptables -A INPUT -i lo -j ACCEPT > >>iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT > >>iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j ACCEPT > >>iptables -A INPUT -i eth+ -m state --state NEW -p tcp --destination-port 22 > >>-j ACCEPT > >> > >>Habe ich etwas wichtiges Ãbersehen? > >> > > Glaube nicht, sieht gut aus. Funktioniert was nicht? > > > > Funtkioniert einwandfrei - ich Ãberlegte, ob ich noch zusÃtzlich > Anti-Spoofing-Regeln brauche. Glaube nicht. 'Spoofing' meint ja in der Regel IP Adressen Spoofing. Das spielt eine Rolle wenn du trusted Netzwerke/Rechner hast, deren Adressen, wenn gespooft, dem Angreifer besondere Rechte geben. Deine Filterregeln sind aber derzeit nur Interface- und nicht IP Adressen- abhÃngig. Wenn du z.B. eine Regel hÃttest die ausschliesslich Adresse 123.456.789.012 Zugriff auf Port 22 geben wÃrde, kÃnntest du dich bei Bedarf mit Spoofing beschÃftigen (d.h. Interface und MAC prÃfen, auf dem entsprechende Pakete eingehen). Aber so wie sie sind, sehen deine Regeln komplett aus. Ein Paranoider kÃnnte fragen warum du allen Traffic rauslÃsst und ihn nicht wenigstens loggst, aber auf Desktopsystemen ist das natÃrlich sehr bequem, insbesondere bei Verwendung von Instant Messaging, VoIP und anderem P2P Zeug. Gruss, Bruno. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfacher Paketfilter
Bruno Hertz wrote: On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote: genÃgen folgende Filterregeln um ausgehend alles und eingehend nur icmp bzw. ssh zuzulassen? Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene Netze gekoppelt wird. iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A OUTPUT -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p tcp --destination-port 22 -j ACCEPT Habe ich etwas wichtiges Ãbersehen? Glaube nicht, sieht gut aus. Funktioniert was nicht? Funtkioniert einwandfrei - ich Ãberlegte, ob ich noch zusÃtzlich Anti-Spoofing-Regeln brauche. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfacher Paketfilter
On Mon, 2005-03-14 at 11:01 +0100, Michael Hierweck wrote: > Hallo, > > genÃgen folgende Filterregeln um ausgehend alles und eingehend nur icmp > bzw. ssh zuzulassen? > > Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene > Netze gekoppelt wird. > > iptables -F INPUT > iptables -F FORWARD > iptables -F OUTPUT > iptables -P INPUT DROP > iptables -P FORWARD DROP > iptables -P OUTPUT DROP > iptables -A OUTPUT -j ACCEPT > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT > iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j ACCEPT > iptables -A INPUT -i eth+ -m state --state NEW -p tcp --destination-port 22 > -j ACCEPT > > Habe ich etwas wichtiges Ãbersehen? > > Viele GrÃÃe > > Michael Glaube nicht, sieht gut aus. Funktioniert was nicht? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Einfacher Paketfilter
Hallo, genügen folgende Filterregeln um ausgehend alles und eingehend nur icmp bzw. ssh zuzulassen? Es handelt sich um ein Notebook, welche per eth0 (DHCP) an verschiedene Netze gekoppelt wird. iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A OUTPUT -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth+ -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p icmp -j ACCEPT iptables -A INPUT -i eth+ -m state --state NEW -p tcp --destination-port 22 -j ACCEPT Habe ich etwas wichtiges übersehen? Viele Grüße Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)