-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Monday 19 November 2001 02:16, Uwe Koloska wrote:
Hallo,
mußte mich gerade etwas intensiver mit der personal-firewall meiner SuSi 7.2 herumschlagen, da die Antworten vom Timeserver einfach ausgefiltert werden ...
Dabei habe ich etwas (jedenfalls für meine ungeschulten Augen) komisches entdeckt: Mit viel Aufwand werden alle udp Ports die mit laufenden Prozessen (netstat -nl) mit DENY geschlossen.
for p in <alle offenen udp ports>; do $ipchains -I $rulechain -p udp -d 0/0 $p -j DENY done
Dann werden die Nameserver explizit geöffnet (domain -> any).
Und dann werden alle udp Pakete generell verboten $ipchains -A $rulechain -p udp -j DENY
Wenn sowieso alle udp Pakete geblockt werden, ist es da nicht sinnlos die einzelnen offenen Ports zuzumachen???
voellig korrekt. Jetzt kommt mein Standardtipp fuer alle Firewall-Anfaenger:
1. schmeiss die beiden SuSE-Firewalls weg! 2. nimm Dir ein Blatt Papier und entwirf die Regeln fuer INPUT selber (von unten nach oben): 1) schliesse alles auf UDP aus 2) schliesse alle auf TCP aus => Verbindungsaufbau von innen soll meistens gestattet sein, also so bauen, dass nur --syn -Pakete von aussen verboten sind (SYN ist das erste Handshakepaket) 3) bohre weitere Loecher in UDP rein: a) DNS-Antworten sind erlaubt, also erlaube Port 53 von aussen b) ?? 4) bohre Loecher in TCP rein a) wenn Du von aussen per ssh ran willst oeffne Port 22 b) wenn Du Freunden Zugriff auf HTTP(S) geben willst oeffne Port 80 (443) c) etc. 3. lasse die OUTPUT Chain in Ruhe, es sei denn es gibt drinnen Leute, die nicht alles duerfen 4. falls Routing noetig ist bau Dir eine Forward-Chain und passende NAT-Table...
Im Anhang ist meine kommentierte IPTables-Config (kann mit iptables-restore gelesen werden, NAT ist dort noch nicht richtig drin).
Konrad
- -- BOFH excuse #17:
fat electrons in the lines