[linux-l] iptables

[Klaus Gerhardt]

Hallo Volker,

Volker Grabsch schrieb:
>   /sbin/iptables -F INPUT
/sbin/iptables -F

>   /sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT		oder DROP?
/sbin/iptables -P OUTPUT ACCEPT

Also ich bin ein Fan davon alles ausdrücklich zu setzen. Dann wird man 
später nicht überrascht von irgend welchen Settings, die noch im System 
sind.

> 
>   /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
>   /sbin/iptables -A INPUT -J ACCEPT -p icmp
Bei icmp würde ich doch eher differenzieren als alles zu erlauben.
http://linuxseiten.kg-it.de/index.php?index=fw_firewall_mit_iptables#Zusammenfassung

>   /sbin/iptables -A INPUT -J ACCEPT -m conntrack --ctstate ESTABLISHED,REJECT
/sbin/iptables -A INPUT -J ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

  > Beim Erlauben aller lokalen Pakete bin ich mir nicht sicher, was besser
> ist. Das erwähnte:
> 
>   /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
> 
> oder lieber über das Netzwerk-Device festlegen:
> 
>   /sbin/iptables -A INPUT -J ACCEPT -i lo
> 
> ?  ... was von beiden ist "best practise"? Gibt es subtile Unterschiede,
> die man wissen sollte?
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
warum nicht so?

Generell ist es keine schlechte Idee die Quell- und Ziel-IP-Adresse in 
den Befehl mit einzubeziehen.

Das Tippen /sbin/iptables kannst du dir sparen wenn du am Anfang des 
Skriptes ein Pfad-Statement einbaust:
PATH=/sbin:/usr/sbin:/usr/local/sbin:/root/bin:/usr/local/bin:/usr/bin:/bin
export PATH

Bei den paar Regeln die du jetzt hast spielt es keine grosse Rolle. Wenn 
es mal hundert(e) werden schon.

Logging ist auch keine schlechte Iddee ;-). Da sieht man dann mal was so 
an Paketen reinkommt.
http://linuxseiten.kg-it.de/index.php?index=fw_firewall_mit_iptables#Log-Funktionen

Grüsse
Klaus

-- 
Klaus Gerhardt * Holsteinische Str. 13 * 10717 Berlin
+49 (30) 8620 1523 * k-gerhardt at gmx.de
http://www.kg-it.de * http://linuxseiten.kg-it.de