[linux-l] iptables (Eheamals: Fedora3 Firewall)
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Mi Nov 16 00:32:21 CET 2005
Volker Grabsch wrote:
> Mir ist folgende Skizze aufgefallen:
> http://www.selflinux.org/selflinux/html/iptables03.html
>
> Mal eine Frage an die Runde: Ist das wirklich korrekt so?
> IMHO wird dort die Rolle des INPUT-Chain, OUTPUT-Chain, etc.
> falsch dargestellt.
Nein, es entspricht auch der offiziellen Dokumentation bei netfilter.org:
http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO-6.html
>> Dann weiß ich nicht warum ich dann noch eine Zeile
>> -P OUTPUT ACCEPT
>> brauche.
> Weil das nichts damit zu tun hat. Den INPUT-Chain durchlaufen *alle*
> Pakete, egal ob sie von "außen" oder "innen" kommen.
Nein - siehe die Graphiken.
Ein Paket, erzeugt durch einen lokalen Prozess (z.B. einen
SSh-,Telnet-,FTP-Client) geht durch keine INPUT-Chain. Intern erzeugte
Pakete gehen in die OUTPUT-Queue.
Ein ankommendes Paket wird erst darauf getestet, ob es in den Rechner
kommt (in die INPUT-Chain), fuer gewoehnlich, weil die Destination-IP des
Pakets gleich einer IP-Adresse des Rechners ist (oder ein fuer den Rechner
bestimmtes Broadcast- oder Multicast-Paket),
oder weitergeleitet wird, dann kommt es in die FORWARD-Queue.
> Generell willst du mit dem OUTPUT-Chain nichts zu tun haben, das ist
> für spezielle Sachen. Ich hab's noch nie wirklich gebraucht. Wenn
> du dort sowieso nichts sperrst, kannst du die Zeile natürlich weghauen,
> weil "ACCEPT" ja sowieso die Default-Einstellung von iptables ist.
> Kurz: Ignorier das einfach.
Autsch.. Bitte nicht.
Was Du machst, ist das Erlauben aller ausgehenden Verbindungen. Das macht
ein gehacktes System zu einem phantastischen Relay. Alkle ausgehende Ports
sind offen.
Besser ist es, sich zu fragen - was muss ich als ausgehende Verbindung
erlauben? Fuer ein gewoehnliches Desktop-System sind das z.B. DNS, SSH,
SMTP, HTTP, HTTPS, wenn's denn sein muss, auch FTP, und Chat-Protokolle
(z.B. ICQ)
Ein Rechner sollte in der Regel keine ACCEPT-Default-Policy haben, egal
fuer welche Chain.
Es gruesst
Peter
Mehr Informationen über die Mailingliste linux-l