[linux-l] iptables (Eheamals: Fedora3 Firewall)

Volker Grabsch vog at notjusthosting.com
Mi Nov 16 09:29:45 CET 2005


On Wed, Nov 16, 2005 at 10:32:21AM +1100, Peter Ross wrote:
> > Generell willst du mit dem OUTPUT-Chain nichts zu tun haben, das ist
> > für spezielle Sachen. Ich hab's noch nie wirklich gebraucht. Wenn
> > du dort sowieso nichts sperrst, kannst du die Zeile natürlich weghauen,
> > weil "ACCEPT" ja sowieso die Default-Einstellung von iptables ist.
> > Kurz: Ignorier das einfach.
> 
> Autsch.. Bitte nicht.
> 
> Was Du machst, ist das Erlauben aller ausgehenden Verbindungen. Das macht
> ein gehacktes System zu einem phantastischen Relay. Alkle ausgehende Ports
> sind offen.

Das mag auf reinen Servern richtig und sinnvoll sein, ja. Dennoch gehört
der OUTPUT-Chain für mich zu den eher paranoiden Methoden, weil du den
laufenden Prozessen misstraust.

Für eine "Home-Firewall" auf einem kleinen Server, auf dem man
vielleicht noch Surfen und was-weiß-ich-alles machen will (darum geht
es hier doch, oder?), halte ich das Filtern der ausgehenden Paketen
eher für schädlich. Auf Home-Rechnern macht das höchstens Sinn, wenn man
sehr viel properitäre Software einsetzt, die ständig "nach Hause
telefonieren" will. Und selbst hier ist eine Filterung nach Zieladresse
und/oder Port nicht wirklich sicher.

> Ein Rechner sollte in der Regel keine ACCEPT-Default-Policy haben, egal
> fuer welche Chain.

Bei einem Server: ja.

Wenn an dem Rechner noch gesurft, gechattet, etc. wird, dann kann
man an dieser Stelle die Regeln beliebig kompliziert machen, ohne echten
Sicherheitsgewinn. Es geht hier doch um eine "Home-Firewall", oder?
Alles andere erfordert sowieso viel mehr Grundwissen und sehr
paranoide Regeln.

Zum Beispiel würde ich im OUTPUT-Chain nicht nach Dienst filtern. Eine
Spyware verbindet sich einfach zu irgendeinem Webdienst auf Port 80, und
hat die Firewall schon überlistet, aber die Firewall kann keine
ausgehenden Verbindungen nach Port 80 verbieten, weil sonst das Surfen
nicht funktioniert. Auf einem "reinen" Server hingegen kann ich ja nach
Herkunftsport filtern, da hast du recht, da ist das noch halbwegs sinnvoll.

Aber gute OUTPUT-Filterregeln für eine Home-Firewall? Da müsste man schon
jeden Prozess einzeln mit Regeln belegen, und selbst das bringt nicht
viel, wenn eben einer dieser Prozesse (z.B. Bowser, Mailclient, ...)
kompromittiert wird. Gerade das ist aber der "normale" Weg, wie Malware
ins System kommt.


Wenn man seine lokalen Systemdienste nach außen abschirmen will (das
war ja das Anliegen des OP), dann reichen die paar Aktionen auf dem
INPUT-Chain locker aus. Will man hingegen die Außenwelt vor seinen
lokalen (evtl. schädlichen) Prozessen abschirmen, dannn ist sehr viel
mehr Arbeit und Hintergrundwissen gefragt.


Viele Grüße,

	Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR



Mehr Informationen über die Mailingliste linux-l