Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » GNU/Linux » Firewallscript erklären, bitte

Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
01.09.2004, 10:12 Uhr
~Benny
Gast


Ich hab ein Script von meinem Vorgänger und wollte fragen ob mir jemand helfen kann und die einzelnen Zeilen erklären kann. Wäre euch sehr dankbar.


Code:
#!/bin/bash
#------------------------------------------------------------------------------
#----( BullyWall v. 0.0.1 {alpha} )--------------------------------------------
#------------------------------------------------------------------------------
#------------------------------------------------------------------------------
# IPTables Kernel-Module Laden            #verstanden
/sbin/modprobe ip_nat_ftp                    #verstanden
/sbin/modprobe ip_nat_irc                    #verstanden
#------------------------------------------------------------------------------
#echo 1 > /proc/sys/net/ipv6/conf/all/forwarding 2> /dev/null
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
#
#------------------------------------------------------------------------------
#
/sbin/iptables -F INPUT           #verstanden
/sbin/iptables -F OUTPUT        #verstanden
/sbin/iptables -F FORWARD      #verstanden
/sbin/iptables -F -t nat           #verstanden
#
#------------------------------------------------------------------------------
#
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT      #verstanden
#
#------------------------------------------------------------------------------
#
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE                    #verstanden
#
#------------------------------------------------------------------------------
# Alle Rules aufheben für trusted IP's           #nicht verstanden
#
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type destination-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type network-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type host-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type protocol-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type port-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type source-route-failed -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type network-unknown -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type host-unknown -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type network-prohibited -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type host-prohibited -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type time-exceeded -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type ttl-zero-during-transit -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type ttl-zero-during-reassembly -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type parameter-problem -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type ip-header-bad -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type required-option-missing -d 0/0 -j ACCEPT
#
#------------------------------------------------------------------------------
# IPtables Logging an
#
iptables -I FORWARD -i ppp0       #verstanden
iptables -I FORWARD -o ppp0      #verstanden
#
#
# auslesen mit iptables -L FORWARD -vnx
#
#------------------------------------------------------------------------------
# Ports Freigeben         #verstanden komplet verstanden
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 113 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p udp --dport 113 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 1352 -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p 41 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -j DROP
#
#-------------------------------------------------------------------------------
#------------------------------------------------------------(c)--{ Bu||shit }--
#-------------------------------------------------------------------------------



DANKE
Grüßer Benny
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
01.09.2004, 15:24 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


hmm etwas umständliches firewall script, hier mal meins:

(umgebaute MiniFire von www.newbie-net.de)


/etc/init.d/firewall:

#!/bin/bash

source /etc/sysconfig/rc
source $rc_functions

if [ -f /etc/firewall/firewall.conf ] ; then
  . /etc/firewall/firewall.conf
else
  echo "ERROR: /etc/firewall.conf nicht gefunden."
  echo "ERROR: Ich beende."
  exit 1
  print_status failure
fi

VERSION="0.6a"

if [ $VERSION != $VERSIONCONF ] ; then
  echo "ERROR: Die Version $VERSIONCONF der /etc/firewall.conf"
  echo "       passt nicht zu Version $VERSION der minifire."
  echo "ERROR: Ich beende."
  exit 1
  print_status failure
fi

flush_chains()
{
  $IPTABLES -F
  $IPTABLES -X
}

allowconnect()
{
  echo -en "$2/$1 "
  $IPTABLES -A INPUT -p $1 --dport $2 -j ACCEPT
}

counter()
{
  count=0
  until [ $count = $MAX_FORWARDINGS ] ; do
    count=$(($count+1))
    echo -n " $count"
  done
}

portforward()
{
  if [ $3 ] ; then
    echo -e "  $2/$1 -> $3 "
    $IPTABLES -t nat -A PREROUTING -p $1 -i $DIAL_OUT --dport $2 -j DNAT --to $3
    allowconnect $1 $2
  fi
}

minifire()
{
  flush_chains

  echo "  Lade Module"

  echo "    Lade IP-Tables"
  $MODPROBE -q ip_tables
  print_status success

  if [ $LOAD_MASQMOD = ja ]; then
    echo "    Lade Masquerading"
    for MODUL in $MASQ_MODULES; do
      $MODPROBE -q $MODUL
    done
    print_status success
  fi
  echo "  Fertig"

  if [ $ANTI_SPOOFING = ja ]; then
    echo "  Starte Anti IP Spoofing"
    for FILTER in /proc/sys/net/ipv4/conf/*/rp_filter; do
      echo 1 > $FILTER
    done
    print_status success
  fi

  if [ $ANTI_SPOOFING_LOG = ja ]; then
    echo "  Starte Anti IP Spoofing Logging"
    for f in /proc/sys/net/ipv4/conf/*/log_martians; do
      echo 1 > $f
    done
    print_status success
  fi

  if [ $SYNCOOKIE = ja ]; then
    echo "  Starte SYN Cookie Schutz"
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    print_status success
  fi

  if [ $DISABLE_ICMP_REDIR = ja ]; then
    for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
      echo 0 > $f
    done
    for f in /proc/sys/net/ipv4/conf/*/send_redirects; do
      echo 0 > $f
    done
  fi

  if [ $DISABLE_SOURCE_ROUTED = ja ]; then
    for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
      echo 0 > $f
    done
  fi

  if [ $ENABLE_BROADCAST_ECHO_PROTECT = ja ]; then
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  fi

  if [ $ENABLE_BAD_ERROR_MESG_PROTECT = ja ]; then
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  fi
  
  if [ $FIX_BROKEN_DIGITUS_ECN = ja ]; then
    echo 0 > /proc/sys/net/ipv4/tcp_ecn
  fi

  if [ $ALLOW_FORWARD = ja ]; then
    echo "  Starte Forwarding"
    echo 1 > /proc/sys/net/ipv4/ip_forward
    print_status success
  fi

  if [ $ALLOW_DYNIP = ja ]; then
    echo "  Erlaube Dyn-IP Patch"
    echo 2 > /proc/sys/net/ipv4/ip_dynaddr
    print_status success
  fi

  $IPTABLES -N block
  $IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
  $IPTABLES -A block -m state --state NEW -i ! $DIAL_OUT -j ACCEPT
  if [ $LOGGING = ja ]; then
    $IPTABLES -A block -j LOG
  fi
  $IPTABLES -A block -j DROP

  echo -en "  Erlaube Tcp-Ports:\n    "
  count=0
  for PORT in $ALLOW_TCP ; do
    if test $count -ge 10 ; then
      echo -en "$PORT\n    "
      count=0
    else
      echo -n "$PORT "
      count=$(($count+1))
    fi
    $IPTABLES -A INPUT -p tcp --dport $PORT -j ACCEPT
  done
  echo -e "\n  Fertig"

  echo -en "  Erlaube Udp-Ports:\n    "
  count=0
  for PORT in $ALLOW_UDP ; do
    if test $count -ge 10 ; then
      echo -en "$PORT\n    "
      count=0
    else
      echo -n "$PORT "
      count=$(($count+1))
    fi
    $IPTABLES -A INPUT -p udp --dport $PORT -j ACCEPT
  done
  echo -e "\n  Fertig"

  echo -en "  Verbiete Tcp-Ports:\n    "
  count=0
  for PORT in $REJECT_TCP ; do
    if test $count -ge 10 ; then
      echo -en "$PORT\n    "
      count=0
    else
      echo -n "$PORT "
      count=$(($count+1))
    fi
    $IPTABLES -A INPUT -p tcp --dport $PORT -j REJECT
  done
  echo -e "\n  Fertig"

  echo -en "  Verbiete Udp-Ports:\n    "
  count=0
  for PORT in $REJECT_UDP ; do
    if test $count -ge 10 ; then
      echo -en "$PORT\n    "
      count=0
    else
      echo -n "$PORT "
      count=$(($count+1))
    fi
    $IPTABLES -A INPUT -p udp --dport $PORT -j REJECT
  done
  echo -e "\n  Fertig"

  echo "  Forwarde Ports: "
  for i in `counter` ; do
    portforward ${PORTFORWARD_[$i]}
  done
  print_status success

  if [ $ALLOW_PING = nein ]; then
    echo "  Verbiete Ping"
    $IPTABLES -A INPUT -p icmp --icmp-type echo-request -i $DIAL_OUT -j DROP
  else
    echo "  Erlaube Ping"
    $IPTABLES -A INPUT -p icmp --icmp-type echo-request -i $DIAL_OUT -j ACCEPT
  fi
  print_status success

  $IPTABLES -A INPUT -j block
  if [ $FIX_BROKEN_TDSL = ja ]; then
    echo "  Repariere T-DSL"
    $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    print_status success
  fi
  $IPTABLES -A FORWARD -j ACCEPT
    
  if [ $ALLOW_MASQ = ja ]; then
    echo "  Starte Masquerading"
    $IPTABLES -t nat -A POSTROUTING -o $DIAL_OUT -j MASQUERADE
    print_status success
  fi
}
  
case "$1" in
  start)
    echo "Starte Firewall $VERSION"
    minifire
    echo "Firewall $VERSION geladen"
    print_status success
  ;;

  stop)
    echo "Stoppe Firewall $VERSION"
    $IPTABLES -F
    $IPTABLES -X
    print_status success
  ;;
    
  restart)
    $0 stop
    $0 start
  ;;

  status)
    if [ $PAGER ]; then
      $IPTABLES -L -nv --line-numbers | $PAGER
    else
      $IPTABLES -L -nv --line-numbers
    fi
  ;;
    
  *)
    echo "Benutzung: $0 {start|stop|status|restart}"
    exit 1
  ;;
esac

# End $rc_base/init.d/




dann


/etc/firewall/firewall.conf:

############################################################################
# Konfigurationsdatei fuer Minifirewall                                    #
############################################################################

# ==> Interface nach aussen. Ist für isdn=ippp0 und für dsl=ppp0
DIAL_OUT=eth0

# Hier können  die Services  freigeschaltet  werden die  über das Dial-Out
# Interface erlaubt sind. Dazu muss pro Service nur der entsprechende Port
# in  ALLOW_PORTS_TCP  und/oder  ALLOW_PORTS_UDP  eingetragen werden. Eine
# Liste  mit oft benutzten Services und deren Ports ist weiter unten, aber
# auch ausführlicher in der Datei /etc/services.

# ==> Welche TCP-Dienste duerfen von aussen sichtbar sein?
ALLOW_TCP=""
for I in `cat /etc/firewall/allow_tcp.conf` ; do
  #echo "  $I"
  if [ "${ALLOW_TCP}err" = "err" ] ; then
    ALLOW_TCP=$I
  else
    ALLOW_TCP="${ALLOW_TCP} $I"
  fi
done
#ALLOW_TCP="20 21 22 25 80 110 143 139 389 443 631 2593 2595 3306 3593 3595 4000 4001 4006 4008 5901 10000 11000 11001 11002 60000 60001 60002 60003 60004 60005 60006 60007 60008 60009 60010"

# ==> Welche UDP-Dienste duerfen von aussen sichtbar sein?
ALLOW_UDP=""
for I in `cat /etc/firewall/allow_udp.conf` ; do
  #echo "  $I"
  if [ "${ALLOW_UDP}err" = "err" ] ; then
    ALLOW_UDP=$I
  else
    ALLOW_UDP="${ALLOW_UDP} $I"
  fi
done
#ALLOW_UDP="53 137 138 139 28765 28766 60000 60001 60002 60003 60004 60005 60007 60008 60009 60010"

# ==> Welche TCP-Dienste sollen abgewiesen statt verworfen werden?
REJECT_TCP="153"

# ==> Welche UDP-Dienste sollen abgewiesen statt verworfen werden?
REJECT_UDP="153"

# ==> Soll Masquerading möglich sein?
ALLOW_MASQ=nein

# ==>  Welche Masqueradingmodule sollen geladen werden?
MASQ_MODULES="iptable_nat ip_conntrack_ftp ip_nat_ftp" # ip_nat_irc"

# ==> www.gmx.de geht nicht mit DSL? Dann hier "ja" eintragen
FIX_BROKEN_TDSL=nein

FIX_BROKEN_DIGITUS_ECN=ja

# ==> Logging aller abgelehnten Pakete an (ja) oder aus (nein)?
LOGGING=nein

# Diese Ports werden auf einen Rechner im internen Lan weitergeleitet.
#   Syntax   :  PORTFORWARD_[N]="PROTO PORT ZIEL-IP"
#   Beispiel1:  PORTFORWARD_[1]="tcp 22 192.168.1.100"
#   Beispiel2:  PORTFORWARD_[2]="udp 4332 192.168.1.70"
#   Beispiel2:  PORTFORWARD_[3]="udp 1024:3000 192.168.1.40"
# In Beispiel1 wird Port 22/tcp an den Host 192.168.1.99 weitergeleitet.
# In Beispiel2 wird Port 4332/udp an den Host 192.168.1.70 weitergeleitet.
# In Beispiel2 werden die Ports 1024 bis 3000/udp an den Host 192.168.1.40 weitergeleitet.
#
# 50 Portforwardings sind default, wer mehr will ändert MAX_FORWARDINGS



# Die folgenden Variablen brauchen im Regelfall nicht geändert werden.
#######################################################################

MAX_FORWARDINGS=50
ANTI_SPOOFING=ja
ANTI_SPOOFING_LOG=ja
SYNCOOKIE=nein
DISABLE_ICMP_REDIR=ja
DISABLE_SOURCE_ROUTED=ja
ENABLE_BROADCAST_ECHO_PROTECT=ja
ENABLE_BAD_ERROR_MESG_PROTECT=ja
ALLOW_FORWARD=$ALLOW_MASQ
ALLOW_DYNIP=$ALLOW_MASQ
ALLOW_PING=ja
LOAD_MASQMOD=$ALLOW_MASQ
INIT_VERBOSE=ja
MODPROBE=modprobe
IPTABLES=iptables
VERSIONCONF="0.6a"

########
# ENDE #
########



dann dazu


/etc/firewall/allow_tcp.conf:

22
25
80



und


/etc/firewall/allow_udp.conf:

53



so kann man einfach eintragen in die beiden conf's welche ports erlaubt werden, alle anderen sind standardmäßig dicht.
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
02.09.2004, 16:14 Uhr
~Benny
Gast


Hui, das ist aber eine ausgebaute Firewall. Dazu werde ich noch ein wenig brauchen, bis ich sowas selber machen kann.

Ich hab jetzt selber was programmiert und habe auch schon fast alles verstanden, was ich immernoch nicht gefunden und verstanden habe ist folgendes:


Code:
# Alle Rules aufheben für trusted IP's           #nicht verstanden
#
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type destination-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type network-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type host-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type protocol-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type port-unreachable -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type source-route-failed -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type network-unknown -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type host-unknown -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type network-prohibited -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type host-prohibited -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type time-exceeded -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type ttl-zero-during-transit -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type ttl-zero-during-reassembly -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type parameter-problem -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type ip-header-bad -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type required-option-missing -d 0/0 -j ACCEPT



mein script sieht jetzt so aus, was haltet ihr davon, was könnte ich besser machen?


Code:
#!/bin/sh

# -- Internet-Gateway von Benjamin

  echo -e "\nFirewall Version 0.0.1 wird geladen ..\n"

# -- IPTables Kernel-Module Laden

  /sbin/modprobe ip_nat_ftp
  /sbin/modprobe ip_nat_irc

# -- TCP Ports welche freigegeben werden sollen

  TCPPorts="22 80 10000"

# -- Netzwerkkarten definieren für IN und OUTPUT

  EXTERN="eth0"
  INTERN="eth1"

  echo " Externes Interface: $EXTERN"
  echo " Internes Interface: $INTERN"

# -- Standard Einstellungen herstellen

  echo -e "\n Standard Einstellungen werden hergestellt.."

  #Alles "dicht" machen und alle vorangegangenen Regeln löschen
  iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD DROP
  iptables -F
  iptables -X
  iptables -F -t nat

# -- IP Forwarding aktivieren

  echo 1 > /proc/sys/net/ipv4/ip_forward

# -- Nur entgegennehmen von Paketen die auch erwartet werden (Antowrt von Anfrage)

  echo -e " Nur erwartete Pakete werden angenommen"
  iptables -A FORWARD -i $INTERN -o $EXTERN -j ACCEPT
  iptables -A FORWARD -i $EXTERN -o $INTERN -m state --state ESTABLISHED,RELATED
-j ACCEPT

  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A OUTPUT -j ACCEPT

# -- Weiterleiten der Informationen vom LAN zum Inet

  echo -e " Routing von LAN zu INET wird aktiviert..\n"
  iptables -A POSTROUTING -t nat -o $EXTERN -j MASQUERADE

# -- Kommunikation interner Netzwerkkarten erlauben

  iptables -A INPUT -i lo -j ACCEPT
  iptables -A OUTPUT -o lo -j ACCEPT

  iptables -A INPUT -i $INTERN -j ACCEPT
  iptables -A OUTPUT -o $INTERN -j ACCEPT

# -- Ports freigeben

for Port_range in $TCPPorts ; do

  echo -e " Port $Port_range wird geöffnet.."
  iptables -A INPUT -i $EXTERN -p tcp --dport $Port_range -m state --state NEW -j ACCEPT
  iptables -A OUTPUT -o $EXTERN -p tcp --dport $Port_range -m state --state NEW -j ACCEPT

done

# -- Portforwarding

   iptables -A PREROUTIN -t nat -i $INTERN -p tcp --dport 11 -j DNAT --to 192.168.100.171:22

# -- Ende des Firewallscripts

  echo -e "\n.. Firewall wurde ausgeführt\n"


-----------
Bin noch LInux Anfänger, bitte habt geduld :o)
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
02.09.2004, 17:26 Uhr
0xdeadbeef
Gott
(Operator)


Ich würd mir an deiner Stelle mal das conntrack-Modul von netfilter ankucken. Ist so was ähnliches wie -m state, aber deutlich mächtiger. Ansonsten würd ich die Port_range-Schleife mit -m multiport zusammenfassen und die Ports, so weit möglich, nicht mit Zahlen, sondern den Bezeichnungen aus der /etc/services benennen.

Dann könnte man drüber nachdenken, ICMP drastisch einzuschränken, z.B. nach draußen nur noch echo-request (ping) und von draußen nur noch echo-reply (pong) und destination-unreachable durchzulassen, und von innen könnte man bestimmte ports nach draußen sperren, die irgendwelche spyware oder sonstiger Kram benutzt. Aber ansonsten sieht das schon ganz brauchbar aus.
--
Einfachheit ist Voraussetzung für Zuverlässigkeit.
-- Edsger Wybe Dijkstra
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
03.09.2004, 08:55 Uhr
~Benny
Gast


Guten Morgen
--------
Bin noch LInux Anfänger, bitte habt geduldt :o)

Zitat

Code:
Ich würd mir an deiner Stelle mal das conntrack-Modul von netfilter ankucken. Ist so was ähnliches wie -m state, aber deutlich mächtiger. Ansonsten würd ich die Port_range-Schleife mit -m multiport zusammenfassen und die Ports, so weit möglich, nicht mit Zahlen, sondern den Bezeichnungen aus der /etc/services benennen.



könntest du darauf etwas genauer eingehen, wie soll ich das mit den Ports und der Port_range machen? Warum soll ich keine Zahlen verwenden?

Zitat

Code:
Dann könnte man drüber nachdenken, ICMP drastisch einzuschränken, z.B. nach draußen nur noch echo-request (ping) und von draußen nur noch echo-reply (pong) und destination-unreachable durchzulassen, und von innen könnte man bestimmte ports nach draußen sperren, die irgendwelche spyware oder sonstiger Kram benutzt. Aber ansonsten sieht das schon ganz brauchbar aus.


d.h., es wär ein Sahnehäubchen, aber nicht zwingend, was könnte jetzt noch alles passieren?

Grüßer Benny
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ GNU/Linux ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: