linux-l: Firewall-Roules

Ulrich Wiederhold U.Wiederhold at gmx.net
Di Feb 6 13:04:34 CET 2001


Hallo,
also, ich will alles nach draußen erlauben, aber Zugriff auf meinen
ftp-server und sshd haben (port 21 und 22).

iptables -N filter
iptables -A filter -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A filter -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A filter -m state --state NEW -i ppp0 -p ! ftp,ssh -j DROP
iptables -A filter -m state --state NEW -i ppp0 -p tcp,ftp --dport 21 -j ACCEPT
iptables -A filter -m state --state NEW -i ppp0 -p tcp,ssh --dport 22 -j ACCEPT

iptables -A INPUT -j filter
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j ACCEPT

Die o.g. Regeln müßten doch FORWARD und INPUT verbieten, Outgoing
traffic führt zu Regel filter.

Dort werden zuerste alle bestehenden und related connection acceptiert,
ebenso alles was nicht über ppp0 läuft (Falls ich mir noch ein internes
Netz aufbaue).

Ich denke, soweit dürfte alles ok sein.
Aber jetzt.
iptables -A filter -m state --state NEW -i ppp0 -p ! ftp,ssh -j DROP

Das soll beim Incoming traffic alles droppen, was nichts mit ftp und ssh
zu tun hat.

Folgendes soll dann wiederum ftp und ssh auf den angegebenen Ports
erlauben. -p tcp muß ich angeben, da sonst wohl die dport-Option nicht
acceptiert wird. Richtig so?

iptables -A filter -m state --state NEW -i ppp0 -p tcp,ftp --dport 21 -j
ACCEPT
iptables -A filter -m state --state NEW -i ppp0 -p tcp,ssh --dport 22 -j
ACCEPT


Sofern daß nicht zu falsch war, noch ein letztes Problem, irc. Da kommen
doch auch directe connections beim DCC send/receive zustande. Wie
erlaube ich das? Am besten auch nur auf bestimmten Ports, die ich per
xchat freigebe, oder?

Ist es von Vorteil, dafür einen proxy aufzusetzen?


Hmm, dann sind da noch Beispiele für Security:

iptables -N filter2
iptables -A filter2 -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A filter2 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
iptables -A filter2 -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT

iptables -A FORWARD -j filter2

Also doch nicht FORWARD komplett dichtmachen? Ich verstehe das jetzt so,
daß ich FORWARD brauche, um Dienste wie tcp zu nutzen?

So, dann hoffe ich mal, daß ich nicht totalen Murks zusammengeschrieben
habe...

Gruß
Uli

P.S.: So ganz steige ich da (noch) nicht durch!



Mehr Informationen über die Mailingliste linux-l