[linux-l] iptables

Volker Grabsch vog at notjusthosting.com
Do Mär 23 16:08:54 CET 2006 

On Thu, Mar 23, 2006 at 12:49:15PM +0100, Klaus Gerhardt wrote:
> Volker Grabsch schrieb:
> >  /sbin/iptables -F INPUT
> /sbin/iptables -F
> 
> >  /sbin/iptables -P INPUT DROP
> /sbin/iptables -P FORWARD ACCEPT		oder DROP?
> /sbin/iptables -P OUTPUT ACCEPT
> 
> Also ich bin ein Fan davon alles ausdrücklich zu setzen. Dann wird man 
> später nicht überrascht von irgend welchen Settings, die noch im System 
> sind.

Guter Vorschlag, werde ich einbinden.

> >  /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
> >  /sbin/iptables -A INPUT -J ACCEPT -p icmp
> Bei icmp würde ich doch eher differenzieren als alles zu erlauben.
> http://linuxseiten.kg-it.de/index.php?index=fw_firewall_mit_iptables#Zusammenfassung

Wieso? Ping-Floods sind doch das einzige Problem, oder?
Und gegen Floods muss man sowieso noch mehr machen, da hätte ich mehr
Sorge vor nem gefloodeten SSH- oder Webserver.

Für eine Firewall "für zu Hause", vielleicht noch für unterwegs mit dem
Laptop, welche Gefahren lauern da in der ICMP-Welt?
(außer ping-floods)

> >  /sbin/iptables -A INPUT -J ACCEPT -m conntrack --ctstate 
> >  ESTABLISHED,REJECT
> /sbin/iptables -A INPUT -J ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

Huch ja, sorry, dummer Tippfehler.

>  > Beim Erlauben aller lokalen Pakete bin ich mir nicht sicher, was besser
> >ist. Das erw?hnte:
> >
> >  /sbin/iptables -A INPUT -J ACCEPT -s 127.0.0.1
> >
> >oder lieber ?ber das Netzwerk-Device festlegen:
> >
> >  /sbin/iptables -A INPUT -J ACCEPT -i lo
> >
> >?  ... was von beiden ist "best practise"? Gibt es subtile Unterschiede,
> >die man wissen sollte?
> iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
> warum nicht so?

Wenn jemand z.B. mehrere Loopback-Adressen hat, so wäre eine Hart-Codierung
von 127.0.0.1 vielleicht zu unflexibel. Aber darum geht es gar nicht.

Wenn es einen einfacheren Befehl gibt, der das gleiche regelt, soll
dieser bevorzugt werden. Immerhin ist mein Ziel nicht die redundante
Abschottung, sodass jedes Loch durch mind. 2 Regeln verdeckt wird,
sondern es geht mir um eine möglichst einfache Konfiguration.

Immerhin soll's ne IPTables-Howto werden, die die Einfachheit
hervorhebt. Dass man die Regeln beliebig weit aufbauschen kann, und
wie SuSE in ihrem YaST dann eine Meta-Regelsprache rüberlegen kann,
ist zwar nett, aber das krasse Gegenteil von dem, was ich will.

> Das Tippen /sbin/iptables kannst du dir sparen wenn du am Anfang des 
> Skriptes ein Pfad-Statement einbaust:
> PATH=/sbin:/usr/sbin:/usr/local/sbin:/root/bin:/usr/local/bin:/usr/bin:/bin
> export PATH

Ich hätte es so gemacht:

    IPTABLES=/sbin/iptables

    $IPTABLES ...
    $IPTABLES ...
    $IPTABLES ...

Aber ich wollte eben so wenig Indirektion wie möglich mit drin haben.
Sicher kann man das alles beliebig aufbauschen und verallgemeinern. Auch
IPTables-Meta-Scripte wurden hier in der Liste schon vorgestellt.

> Bei den paar Regeln die du jetzt hast spielt es keine grosse Rolle. Wenn 
> es mal hundert(e) werden schon.

Darum geht es wiegesagt nicht.

> Logging ist auch keine schlechte Iddee ;-). Da sieht man dann mal was so 
> an Paketen reinkommt.
> http://linuxseiten.kg-it.de/index.php?index=fw_firewall_mit_iptables#Log-Funktionen

Danke für die zahlreichen Links. Sie sind sehr interessant für michen,
gehen aber leider an meinem eigentlichen Ziel vorbei.

Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l