[linux-l] iptables
Klaus Gerhardt
k-gerhardt at gmx.de
Do Mär 23 12:49:15 CET 2006
Hallo Volker,
Volker Grabsch schrieb:
> /sbin/iptables -F INPUT
/sbin/iptables -F
> /sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT oder DROP?
/sbin/iptables -P OUTPUT ACCEPT
Also ich bin ein Fan davon alles ausdrücklich zu setzen. Dann wird man
später nicht überrascht von irgend welchen Settings, die noch im System
sind.
>
> /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
> /sbin/iptables -A INPUT -J ACCEPT -p icmp
Bei icmp würde ich doch eher differenzieren als alles zu erlauben.
http://linuxseiten.kg-it.de/index.php?index=fw_firewall_mit_iptables#Zusammenfassung
> /sbin/iptables -A INPUT -J ACCEPT -m conntrack --ctstate ESTABLISHED,REJECT
/sbin/iptables -A INPUT -J ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
> Beim Erlauben aller lokalen Pakete bin ich mir nicht sicher, was besser
> ist. Das erwähnte:
>
> /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
>
> oder lieber über das Netzwerk-Device festlegen:
>
> /sbin/iptables -A INPUT -J ACCEPT -i lo
>
> ? ... was von beiden ist "best practise"? Gibt es subtile Unterschiede,
> die man wissen sollte?
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
warum nicht so?
Generell ist es keine schlechte Idee die Quell- und Ziel-IP-Adresse in
den Befehl mit einzubeziehen.
Das Tippen /sbin/iptables kannst du dir sparen wenn du am Anfang des
Skriptes ein Pfad-Statement einbaust:
PATH=/sbin:/usr/sbin:/usr/local/sbin:/root/bin:/usr/local/bin:/usr/bin:/bin
export PATH
Bei den paar Regeln die du jetzt hast spielt es keine grosse Rolle. Wenn
es mal hundert(e) werden schon.
Logging ist auch keine schlechte Iddee ;-). Da sieht man dann mal was so
an Paketen reinkommt.
http://linuxseiten.kg-it.de/index.php?index=fw_firewall_mit_iptables#Log-Funktionen
Grüsse
Klaus
--
Klaus Gerhardt * Holsteinische Str. 13 * 10717 Berlin
+49 (30) 8620 1523 * k-gerhardt at gmx.de
http://www.kg-it.de * http://linuxseiten.kg-it.de
Mehr Informationen über die Mailingliste linux-l