[linux-l] Fedora3 Firewall
Benjamin Schieder
blindcoder at scavenger.homeip.net
So Nov 13 15:49:52 CET 2005
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Olaf Radicke wrote:
> Aus lauter Verzweiflung, habe ich mal versucht, die Regeln selber mit
> iptables rein zu hacken. Ist aber in einer Katastrophe geendet. Wenn ich das
> über Netzwerk gemacht hätte, hätte ich mich jetzt ausgesperrt. Also das pur
> mit iptables rein zu hacken, halte ich mit meinem Können für aussichtslos.
>
> <EINSCHUB>
> In den Dokus die ich zu iptables stand, das alle Regeln sofort vom Kernel
> angewendet wird. Später wird dann empfohlen mit "ipatables -F" alles alten
> Regeln erstmal zu verwerfen und mit "ipatables -PINPUT DROP" alles zu
> verbieten um dann Schritt für Schritt nur das zu öffnen, was gebraucht wird.
> Das kam mir unlogisch vor. Wenn ich das über Netz gemacht hätte, währe beim
> zweiten Befehl Ende gewesen - mangels Zugriff.
> </EINSCHUB>
Dann mach es genau anders rum: Erst alles erlauben was du willst, dann dicht
machen. Beispiel:
blindcoder at fuzzy:~$ ssh root at kilbourne
root at kilbourne's password:
Last login: Sun Nov 13 14:07:48 2005 from www.shellscripts.org
ipt root at kilbourne:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root at kilbourne:~# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
root at kilbourne:~# iptables -P INPUT DROP
root at kilbourne:~# echo hallo
hallo
root at kilbourne:~#
Hab ich alles uebers Netz gemacht, geht jetzt alles ausser ssh rein, der Rest
wird still verworfen.
Btw, du solltest Filter nur auf INPUT setzen, sonst kannst du nicht mehr auf
Ports zugreifen, die du nicht explizit aufgemacht hast. Will man nicht wirklich.
HTH,
Benjamin
- --
_ _ _ _ _
| \| |___| |_| |_ __ _ __| |__
| .` / -_) _| ' \/ _` / _| / /
|_|\_\___|\__|_||_\__,_\__|_\_\
| | (_)_ _ _ ___ __
| |__| | ' \ || \ \ /
|____|_|_||_\_,_/_\_\
Play Nethack anywhere with an x86 computer:
http://www.crash-override.net/?nethacklinux
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
iD8DBQFDd1KQr0OTeImXvg8RAroBAKDZ4L12yTvdngR7gXjPRHvAd7QXcwCeLbMJ
NIHSvimY5UDLdKNdpQbYObQ=
=0Wex
-----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste linux-l