Wegen schlechter Erfahrung (Siehe sunrpc Thread) habe ich mir jetzt ein Firewall-Script fuer meinem Dialup-Rechner erstellt.
Dabei ist mir aufgefallen, dass man nicht die anti-spoofing Regeln testen kann. "ipchains -C" sagt, dass Packete die von 127.0.0.1 per Interface ppp0 kommen erlaubt sind. Was eigentlich nicht sein duerfte.
Anti-Spoofing ist konfiguriert: --guettli@sonne:/proc/sys/net/ipv4/conf$ cat ppp0/rp_filter 1
Hat jemand eine Idee, wie ich das (ohne zweiten Rechner/VMWare) testen kann?
Im Moment habe ich ein Script /etc/firewall-script.sh welches ich per /etc/init.d/firewall (Template aus IPChains-Howto) starte bzw. stoppe. Eine Policy wo diese Scripte stehen und wo sie heissen scheint es nicht zu geben, oder? Kleiner Nachteil von Linux-Distributions Caos, im File-Hierarchie Standard fand ich nichts zu "firewall".
Fuer die es interessiert sind hier meine Scripts, Verbesserungsvorschlaege sind willkommen:
#!/bin/sh # guettli's firewall rules # #alte Regeln loeschen ipchains -F ipchains -X
# default policy ist eingehende Verbindungen abzulehnen ipchains -P input REJECT
#accounting rule ipchains -A input
# Alle icmp-packages zulassen, # noetig fuer Fluss-steuerung von rausgehenden TCP-Verbindungen ipchains -A input -p icmp -j ACCEPT
#TCP nur als Antwort zulassen, Verbindungsaufbau (--syn) # nicht zulassen ipchains -A input -p tcp ! --syn -j ACCEPT
# reingehende Verbindungen von localhost sind erlaubt ipchains -A input -p all -s 127.0.0.1 -j ACCEPT
# reingehende Verbindung von lokalem Netzwerk sind erlaubt ipchains -A input -p all -s 192.168.0.0/24 -j ACCEPT
# DNS-Antworten in eigener Chain bearbeiten # wird in /etc/ppp/ip-up.d und up-down.d gesestzt ipchains -N DNS_REPL ipchains -A input -p udp --source-port domain -j DNS_REPL
----in /etc/ppp/ip-up.d/0dns: #.... # DNS-Antworten zulassen: [ "$DNS1" ] && ipchains -A DNS_REPL -s $DNS1 -j ACCEPT [ "$DNS2" ] && ipchains -A DNS_REPL -s $DNS2 -j ACCEPT #...
----in /etc/ppp/ip-down.d/0dns: #DNS-Antworten nicht mehr durchlassen ipchains -F DNS_REPL