Ich verwende folgendes kleine Script um meinen Rechner vor unathorisierten Zugriffen zu schützen: --------------------------------------------------------------------------------------------- #! /bin/sh IPTABLES="/usr/sbin/iptables" modprobe ip_conntrack_ftp modprobe ip_nat_ftp NET_ANY="0.0.0.0/0"
# dynamische Kernelparameter setzen echo "1" > /proc/sys/net/ipv4/tcp_syncookies # DoS abwehren echo "1" > /proc/net/ip_conntrack
$IPTABLES -F INPUT $IPTABLES -F FORWARD $IPTABLES -F OUTPUT
$IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP
# http $IPTABLES -A INPUT -p tcp -s $NET_ANY -d 192.168.1.1 --dport 80 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s 192.168.1.1 --sport 80 -d $NET_ANY -j ACCEPT $IPTABLES -A INPUT -p tcp -s $NET_ANY -d 212.80.235.155 --dport 80 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s 212.80.235.155 --sport 80 -d $NET_ANY -j ACCEPT
# https $IPTABLES -A INPUT -p tcp -s $NET_ANY -d 192.168.1.1 --dport 443 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s 192.168.1.1 --sport 443 -d $NET_ANY -j ACCEPT
# ssh $IPTABLES -A INPUT -p tcp -s $NET_ANY -d 192.168.1.1 --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s 192.168.1.1 --sport 22 -d $NET_ANY -j ACCEPT
# ftp $IPTABLES -A INPUT -p TCP --sport 1024:65535 --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -p TCP --dport 1024:65535 --sport 20 -j ACCEPT $IPTABLES -A INPUT -p TCP --sport 1024:65535 --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -p TCP --dport 1024:65535 --sport 21 -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -p TCP --sport 1024:65535 --dport 21 -j ACCEPT $IPTABLES -A INPUT -p TCP --sport 1024:65535 --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -p TCP --dport 1024:65535 --sport 20 -j ACCEPT $IPTABLES -A INPUT -p TCP -s $NET_ANY -d 192.168.1.1 --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -p TCP -s 192.168.1.1 --sport 1024:65535 -d $NET_ANY -j ACCEPT
# smtp $IPTABLES -A INPUT -p tcp -s $NET_ANY -d 192.168.1.1 --dport 25 -j ACCEPT # Fuer SMTP $IPTABLES -A OUTPUT -p tcp -s 192.168.1.1 --sport 25 -d $NET_ANY -j ACCEPT
# pop3 $IPTABLES -A INPUT -p tcp -s $NET_ANY -d 192.168.1.1 --dport 110 -j ACCEPT # POP3 $IPTABLES -A OUTPUT -p tcp -s 192.168.1.1 -d $NET_ANY --sport 110 -j ACCEPT
# dns $IPTABLES -I OUTPUT -s 192.168.1.1 -p UDP --dport 1024:65535 --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -I INPUT -s $NET_ANY -p UDP --dport 53 --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -I OUTPUT -s 192.168.1.1 -p TCP --dport 1024:65535 --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -I INPUT -s $NET_ANY -p TCP --dport 53 --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# loopback $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -d 255.255.255.255 -j DROP ---------------------------------------------------------------------------------------------
Nun tritt hier folgendes Phenomen auf: Die Firewall funktioniert wunderbar. Die Antwortzeiten steigen allerdings linear an. Das bedeutet, dass kurz nach dem Start des Scripts die Antwortzeiten des Rechners normal sind. Später steigen diese allerdings an. Je länger diese Regeln existieren, desto länger dauern die Antworten von diesem Rechner. Wenn ich jetzt die iptables-Regeln lösche und dann das Script neu starte geht alles wieder wie normal. wo habe ich den Fehler in meinen Überlegungen?