gEistiO
16.09.02, 05:35
also...ich wollte von euch nur mal wissen ob meine firewall eigentlich sicher ist.
bei diversen security-checks (grc.com,...) sind alle meine ports "stealth", auch wenn mich ein anderer linuxer mit nmap scannt.
ist diese firewall sicher? ich meine, später mal wird das ein firewall-router für ca 10 windows-computer.
wäre es möglich, die firewall zu umgehen und in das LAN dahinter einzudringen?
wenn ja, wie?
achja, die clients sollten surfen können. sonst nichts.
ich habe schon einen squid installiert, der alle HTTP-header herausfiltert (referer,x-http-forwared-for, http_via, usw...) und die anfrage an einen weiteren anonymen proxy weiterschickt. es wird für den angreifer dadurch schonmal sehr schwer, meine IP herauszufinden. ;)
ich interessiere mich noch für die kernel-optimierungen (wegen DoS, usw...) in /proc/sys/net/ipv4.
habt ihr da vielleicht auch ein paar tipps auf lager?
danke schonmal im vorraus!
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables -t nat --flush
#routing
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ! ppp0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#edonkey2000
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to 192.168.0.99:4662
#win2000 netzwerk
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport netbios-ssn -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.242.0/24 --dport netbios-ssn -j ACCEPT
#FTP-server
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -j DROP
iptables -A FORWARD -j DROP
bei diversen security-checks (grc.com,...) sind alle meine ports "stealth", auch wenn mich ein anderer linuxer mit nmap scannt.
ist diese firewall sicher? ich meine, später mal wird das ein firewall-router für ca 10 windows-computer.
wäre es möglich, die firewall zu umgehen und in das LAN dahinter einzudringen?
wenn ja, wie?
achja, die clients sollten surfen können. sonst nichts.
ich habe schon einen squid installiert, der alle HTTP-header herausfiltert (referer,x-http-forwared-for, http_via, usw...) und die anfrage an einen weiteren anonymen proxy weiterschickt. es wird für den angreifer dadurch schonmal sehr schwer, meine IP herauszufinden. ;)
ich interessiere mich noch für die kernel-optimierungen (wegen DoS, usw...) in /proc/sys/net/ipv4.
habt ihr da vielleicht auch ein paar tipps auf lager?
danke schonmal im vorraus!
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables -t nat --flush
#routing
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ! ppp0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#edonkey2000
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to 192.168.0.99:4662
#win2000 netzwerk
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport netbios-ssn -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.242.0/24 --dport netbios-ssn -j ACCEPT
#FTP-server
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -j DROP
iptables -A FORWARD -j DROP