mal wieder das leidige thema
1. seit ich die standard policy für INPUT auf DROP hab ist der zugriff via ssh, etc. mega lahm. hab allerdings nur 32 MB und nen 166MHZ Pentium MMX, reicht mehr ram oder is der rechner zu lahm?

2. ml donkey braucht zum runterladen anscheinend mehrere ports, welche sind das?

3. welche OUTPUT regeln sind sindvoll? eigentlich soll man von dem rechner aus alles können, also brauch ich doch nix zu verbieten oder? so wie ich das bis jetzt versteh ist das nur sinnvoll, wenn ports offen sind, die nicht offen sein sollen. oder wie? werd daraus net schlau.

4.hier erstmal die firewall. gebt doch ma ein paar tips was noch fehlt (ich weis das ist jede menge)

$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT

$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT

$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -j ACCEPT

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT

$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

Original geschrieben von schiffler
mal wieder das leidige thema
1. seit ich die standard policy für INPUT auf DROP hab ist der zugriff via ssh, etc. mega lahm. hab allerdings nur 32 MB und nen 166MHZ Pentium MMX, reicht mehr ram oder is der rechner zu lahm?


Sollte schon ausreichen!



2. ml donkey braucht zum runterladen anscheinend mehrere ports, welche sind das?


Würd ich auch mal gerne wissen.



3. welche OUTPUT regeln sind sindvoll? eigentlich soll man von dem rechner aus alles können, also brauch ich doch nix zu verbieten oder? so wie ich das bis jetzt versteh ist das nur sinnvoll, wenn ports offen sind, die nicht offen sein sollen. oder wie? werd daraus net schlau.

Am sichersten ist es, nur das aufzumachen, was man braucht.
Zuerst alles verbieten und dann das aufmachen was man braucht.




4.hier erstmal die firewall. gebt doch ma ein paar tips was noch fehlt (ich weis das ist jede menge)

$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT

$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT

$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT

Eventuell noch Port 25 für smtp und Port 110 für POP3

hmmm, da ich aber email nur von den clients abwickle, die ja geforwarded werden, brauche ich port 25 und 11 nicht freigeben oder ?

dann nicht!

für mldonkey fehlt übrigens folgendes:

iptables -A INPUT -i ppp0 -p tcp --dport 4661:4662 -j ACCEPT

iptables -A INPUT -i ppp0 -p udp --dport 4665 -j ACCEPT

zur OUTPUT chain meinte ich das so: die bringt doch nur was gegen trojaner, bzw gegen programme die auf meinem rechner einen port öffnen und das nicht sollen oder?

noch ein frage, ich erhalte füt iptables -L INPUT
folgende ausgaben (die input chain steht ja oben):

[root@GOTT incoming]# iptables -L INPUT
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpts:4661:4662
ACCEPT udp -- anywhere anywhere udp dpt:4665


wie interpretiert man das?
wär net wenn mir jemand helfen könnte.
thx