Hi


Wenn ich meine INPUT policy auf DROP gestellt habe, macht es dann noch Sinn Sachen wie die hier zu sperren:


# gjamer blocken und loggen
iptables -A INPUT -p tcp --dport 12076 -j DROP
iptables -A INPUT -p tcp --dport 12076 -j LOG --log-prefix "gjamer vom internet"
# hack 99 keylogger blocken und loggen
iptables -A INPUT -p tcp --dport 12223 -j DROP
iptables -A INPUT -p tcp --dport 12223 -j LOG --log-prefix "keylogger vom internet"
# girlfriend blocken und loggen
iptables -A INPUT -p tcp --dport 21544 -j DROP
iptables -A INPUT -p tcp --dport 21544 -j LOG --log-prefix "girlfriend vom internet"
# prosiak blocken und loggen
iptables -A INPUT -p tcp --dport 22222 -j DROP
iptables -A INPUT -p tcp --dport 22222 -j LOG --log-prefix "prosiak vom internet"
# masters paradise blocken und loggen
iptables -A INPUT -p tcp --dport 40426 -j DROP
iptables -A INPUT -p tcp --dport 40426 -j LOG --log-prefix "masters paradise vom inet"
# delta source blocken und loggen
iptables -A INPUT -p udp --dport 47262 -j DROP
iptables -A INPUT -p udp --dport 47262 -j LOG --log-prefix "delta source vom internet"
# sockets de troie blocken und loggen
iptables -A INPUT -p tcp --dport 50505 -j DROP
iptables -A INPUT -p tcp --dport 50505 -j LOG --log-prefix "sockets de troie vom inet"
# school bus blocken und loggen
iptables -A INPUT -p tcp --dport 54321 -j DROP
iptables -A INPUT -p tcp --dport 54321 -j LOG --log-prefix "schoolbus vom internet"
# subseven blocken und loggen
iptables -A INPUT -p tcp --dport 6711:6713 -j DROP
iptables -A INPUT -p tcp --dport 6711:6713 -j LOG --log-prefix "subseven vom internet"
# netbus blocken und loggen
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p tcp --dport 12345:12346 -j LOG --log-prefix "netbus vom internet"
iptables -A INPUT -p tcp --dport 20034 -j DROP
iptables -A INPUT -p tcp --dport 20034 -j LOG --log-prefix "netbus vom internet"
# trojaner subseven blocken und loggen
iptables -A INPUT -p tcp --dport 1243 -j DROP
iptables -A INPUT -p tcp --dport 1243 -j LOG --log-prefix "TrojanerSubseven vom internet"
# back orifice blocken un loggen
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p tcp --dport 31337 -j LOG --log-prefix "back orifice vom internet"
# finger blocken und loggen
iptables -A INPUT -p tcp --dport 79 -j DROP
iptables -A INPUT -p tcp --dport 79 -j LOG --log-prefix "finger vom internet"
# telnet blocken und loggen
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "telnet vom internet"
# traceroute blocken und loggen
iptables -A INPUT -p tcp --dport 30 -j DROP
iptables -A INPUT -p tcp --dport 30 -j LOG --log-prefix "traceroute vom internet"
# deepthroat blocken und loggen
iptables -A INPUT -p tcp --dport 6670 -j DROP
iptables -A INPUT -p tcp --dport 6670 -j LOG --log-prefix "deepthroat vom internet"
# finger blocken und loggen
iptables -A INPUT -p tcp --dport 79 -j DROP
iptables -A INPUT -p tcp --dport 79 -j LOG --log-prefix "finger vom internet"


Andere Frage:

Ist es bendenklos, die OUTPUT policy bei einem rootserver auf ACCEPT zu stellen, und nichts zu sperren?

Und noch eine:

Ist ein:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
(für passives ftp)
ein Sicherheitsrisiko?

Gruß

Jan

Hi


Wenn ich meine INPUT policy auf DROP gestellt habe, macht es dann noch Sinn Sachen wie die hier zu sperren:

Jan

nein, alles was nicht erlaubt ist, ist sowieso verboten, nur bekommst du in dem fall wahrscheinlich keinen log output, da die drop regel eher greift.

ich lass auf meinem server passives ftp zu. imho port 20 und 21. über output rules kann man denk ich streiten, ich machs im begrenzten maße, z.b. o nicht das der lo trafik ins netz geht.

hth

Das ftp über Port 20 und 21 ist aber aktives FTP!

Hi


Ist ein:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
(für passives ftp)
ein Sicherheitsrisiko?

Gruß

Jan

wenns irgendwann mal ne sicherheitslücke zum erraten von syncookies gibt, kann man halt dann so deine firewall komplett übergehen.