PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sicher?


lehrling2
27.02.04, 18:46
hi,

ist die konfig von aussen (internet) sicher?

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Lokkit-0-50-INPUT (2 references)
target prot opt source destination
tcp -- x.x.x.x anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT udp -- anywhere anywhere udp spt:domain
tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- x.x.x.x anywhere tcp dpt:10000 flags:SYN,RST,ACK/SYN
ACCEPT tcp -- x.x.x.x anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN
ACCEPT all -- anywhere anywhere
REJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-po
rt-unreachable
REJECT udp -- anywhere anywhere udp reject-with icmp-port-unreachable


Gruß
Lehrling
usr
27.02.04, 20:26
Nein.
Basti_litho
27.02.04, 20:52
Original geschrieben von usr
Nein.
wirklich extrem hilfreich!
wenn du nix hilfreiches zu sagen hast: spars dir einfach!
usr
28.02.04, 00:45
Ja, er war durchaus hilfreich. Seine Frage war eindeutig, so wie meine Antwort. Dein "Beitrag" war im Gegensatz zu meinem kein Stück hilfreich. Deine freundliche Art kommt sicher oft gut an.

lehrling2,
ich würde die default policies auf DROP bzw. REJECT (Geschmackssache und Glaubensfrage) setzen. Danach schaltest du das frei, was du benötigst.
lehrling2
28.02.04, 08:36
hi,

kannst du mir BITTE ein beispiel dazu erstellen...

DANKE!

Gruß
Lehrling
Bubble
28.02.04, 18:12
lehrling2, eine iptables-Konfiguration (eine sichere Konfiguration) muss immer auf die persönlichen Bedürfnisse abgestimmt sein. Daher kann dir hier niemand eine Anleitung geben, weil wir nicht wissen, was du brauchst und was nicht.

Allgemein gilt: Policies auf DROP. Anschließend wird nach und nach freigeschaltet, was benötigt wird. Das geht meist los bei Zugriffen auf die DNS-Server, HTTP/HTTPS-Zugriff (meist wohl unbeschränkt), Zugriff auf SMTP und POP-Server, benötigte FTP-Server, SSH-Server usw.

Die andere Sache ist die, sich gegen Angriffe von aussen abzuwehren. So solltest du Anfragen nur auf Ports zulassen, die von außen gebraucht werden (falls bspw. ein Webserver läuft, der von außen erreichbar sein soll, Port 80 aufmachen etc.).

Das ist das usr meinte, du schaltest nur frei was du brauchst.

Es gibt da so einen iptables-Generator von Harry, der ist dir bestimmt hilfreich. Ansonsten, werf mal einen Blick in die Doku auf http://www.netfilter.org. Das lohnt sich auf alle Fälle.
Bubble