PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : FW-Setup: default DENY



krabat-online
14.02.03, 21:24
hi all,

bisher habe ich meinen Paketfilter in der Policy auf ACCEPT laufen lassen.
nur finde ich das Prinzip von wegen akzeptiere alles solange es nicht verboten ist
nicht so prickelnd =))
darauf habe ich masquerading eingestellt und gewisse ports gesperrt.

Nun würde ich gerne alles umdrehen, also standart: akzeptiere nichts solange es nicht erlaubt wurde.
(DENY)
ok. habe ich dann auch gemacht, danach masquerading konfiguiert und die ports 22, 25,110 und 80 freigegeben.
keine Inetverbindung von den Clients aus, der Server selbst auch nicht.
also müsste ich demnach doch mehr definieren wenn oben genanntes setup laufen soll ??

wer hat schon erfahrung darin und kann mir helfen ?

mit freundlichem Gruß

Krabat

geronet
14.02.03, 21:41
Du lässt einfach alle Pakete vorher loggen (mit --log) die du droppst oder rejectest.
Dann weisst du welche du erlauben musst.

Grüsse, Stefan

HangLoose
14.02.03, 23:01
hi


Nun würde ich gerne alles umdrehen, also standart: akzeptiere nichts solange es nicht erlaubt wurde. (DENY)

ist auch der bessere weg :)

die frage ist jetzt, ob das für alle 3 chains gelten soll, also für INPUT, OUTPUT, FORWARD.

wie sieht dein paketfilter bis jetzt aus? verwendest du ein eigenes script? iptables oder ipchains?


Gruß HL

krabat-online
15.02.03, 21:05
hi,

ipchains mit script.. iptables ist auch kein problem..
die idee mit dem loggen find ich gut =) hätte man ja mal von selbst drauf kommen sollen ;-)
hm.. für alle chains sollte es schon gelten, dass standart DENY bleibt.

naja und mein jetziges Skript brauch ich denk ich nicht zu posten, eine Standart ACCEPT sollte jeder aus dem Kopf nachvollziehen können... gibt ja genug howtos =)) (soll keine beleidigung sein)

weitere Tips / Skripts ?

mit freundlichem Gruß

Krabat

HangLoose
16.02.03, 00:35
hi

ich hab mich ein wenig missverständlich ausgedrückt. worauf ich hinaus wollte, ist connection tracking. also ob von innen nach aussen alles erlaubt sein soll oder ob du von innen auch alles explizit freigeben möchtest.

allerdings fällt connection tracking imho bei ipchains eh aus.


eine Standart ACCEPT sollte jeder aus dem Kopf nachvollziehen können... gibt ja genug howtos =)) (soll keine beleidigung sein)

ich zieh ein gutes buch vor ;)



weitere Tips / Skripts ?

du kannst dir hier ein script erstellen lassen => http://www.harry.homelinux.org/modules.php?name=iptables_Generator

du müßtest dich dann allerdings für iptables entscheiden


Gruß HL