[linux-l] ipchains firewall frage
Steffen Schulz
pepeatgoofy at gmx.net
Di Mär 12 22:45:14 CET 2002
On 020312 at 20:01, Fabian Walk <fabian at narf.in-berlin.de> wrote:
> Ich habe alle privilegierten Ports für den Zugriff von aussen
> (Internet) gesperrt und alle unprivilegierten Ports freigegeben, wobei
> ich dort wiederum NFS (2049) und den SQUID (3128) für den Zugriff
> von aussen gesperrt habe.
Ein lokaler Benutzer könnte auf Port xyzab nen Server aufstellen und
schon kann man sich von ausserhalb einloggen. Das stellt solange keine
Sicherheitslücke dar, wie der User weiss, was er tut (=sich kein anderer
Zugang verschafft) und dein Logging funktioniert (damit er dich nicht
als Proxy benutzt).
Ich rejecte incoming Syns mit Ausnahme von Ports kleiner 1024 auf denen
ein von mir(root) konfigurierter Server laufen soll.(zB sshd)
(BTW: Wenn ich nen Fernwartungstool entwerfe, dass von den Flags
keinen Gebrauch macht und z.b. nur ACK oder RST stehen hat und das
Handshaking "selber" macht. Damit würde man doch viele
Firewalls (!=stateful) umgehen oder?)
> Möglichkeit gibt den Zugriff komplett zu sperren ohne das ich
> Einschränkungen bei den Diensten habe die ich mit meinen
> Client-Rechnern im LAN nutze.
Wenn du nach aussen Verbindungen aufbauen darfst und mittels Stateful
Inspection related,established wieder reinlässt bist du eigendlich auf der
sicheren Seite. Für FTP/IRC noch entsprechende Module laden.
> Mein Gateway bietet extern keine Dienste an und der DNS-Server (bind)
> läuft auf einem unprivilegierten Port. Somit dürfte es doch zu
> Problemen kommen wenn ich alle unprivilegierten Ports dicht mache.
Lass den bind auf 53 laufen. Das sind prev. Ports, dass heisst da
antwortet nur bind es sei denn du änderst dass.
Es ist nicht sinnvoll, die Server zwischen den 65000 Ports zu verstecken.
Ein (kompletter) Portscan findet sie alle.
> Ich hoffe ihr habt noch ein paar Tipps für mich, wenn es hilft kann ich
> auf Anfrage auch noch mein Firewallscript posten.
"Offene" Ports sind keine Gefahr, solange kein Server an ihnen horcht.
Wenn keine Server laufen kann eigendlich keiner was machen ausser DoS
oder so...Mit loggen solltest du vorsichtig sein sonst ist deine Platte
bei nem DoS-Angriff voll, weshalb der dann auch erfolgreich wäre.
Ansonsten gibt es viele Beispielskripte im Netz. Google hilft.
Ich hoffe das ich die ganze Sache einigermassen richtig verstanden
habe, ansonsten kommen hoffentlich gleich viele Korrekturen ;)
mfg
pepe
--
GOD'S IN HIS HEAVEN.
ALL'S RIGHT WITH THE WORLD.
Mehr Informationen über die Mailingliste linux-l