hi!
ich möchte meine firewall auf einem rechner (debian 3.0) konfigurieren auf den ich ausschließlich ssh zugriff habe.
dabei ist das risiko dass ich mich selbst aussperre, sprich ich einen blödsinn mache und ich nicht mehr per ssh zugreifen kann.

ich hab mir gedacht:
wenn ich das starten der iptables beim systemstart deaktiviere was passiert dann?
kann ich dann überall oder nirgendwo zugreifen?
denn wenn ich dann überall zugreifen kann kann ich den autostart deaktivieren, firewall konfigureiere, iptables manuell starten, testen, falls OK autostart wieder aktivieren, fall nicht OK einen reboot machen und iptables neu konfigurieren.

Michi

Ohne iptables kannst Du auf alle Ports zugreifen.




ich hab mir gedacht:
wenn ich das starten der iptables beim systemstart deaktiviere was passiert dann?
kann ich dann überall oder nirgendwo zugreifen?
denn wenn ich dann überall zugreifen kann kann ich den autostart deaktivieren, firewall konfigureiere, iptables manuell starten, testen, falls OK autostart wieder aktivieren, fall nicht OK einen reboot machen und iptables neu konfigurieren.


Das muß man so nicht verstehen, oder?

Was soll denn passieren?

Solange Du den ssh Zugang im iptables Regelsatz berücksichtigst (Am besten ganz am Anfang damit er nicht durch eine andere Regel gesperrt ist) kannst Du dich nicht aussperren.

mfg
cane

hi

cane hat's ja schon geschrieben => ssh regeln an den anfang des scripts. btw wenn du dich aussperrst, kannst du auch nicht mehr rebooten, eigene erfahrung ;)


Gruß HL

Ich häng mich an den Thread ran, weil es meiner Meinung nach gut dazupasst! Sorry fuchsmi, falls das daneben war ;)

Sicher - ohne Firewall gibt es Zugriff auf alle Ports. Aber, was ist, wenn ich ausser ssh keinen Dienst rennen habe? Wo ist dann noch eine Gefahr? Gibt es die Möglichkeit überhaupt z.b. über einen grad benutzten höheren (Client-)Port zu mißbrauchen?

hi klemens


Gibt es die Möglichkeit überhaupt z.b. über einen grad benutzten höheren (Client-)Port zu mißbrauchen?

es gibt möglichkeiten eine verbindung zu *entführen*, bspw. "man in the middle" oder spoofing. iptables bietet einen gewissen schutz gegen ip-spoofing zum beispiel.

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

ausserdem besteht die möglichkeit, das du dir einen trojaner oder ähnliches einfängst. wenn du jetzt von innen mittels paketfilter nur bestimmte verbindungen erlaubst, dürfte ein angriff über diesen trojaner zumindest schwierig werden.

das wichtigste sind aber *sauber* konfigurierte dienste und das einspielen eventueller sicherheits patches.


Gruß HL

:) Danke einmal - Mehr ist mir nämlich auch nicht eingefallen. Ich verwende iptables selber auch nur (abgesehen vom masquerading) , um mich vor der eigenen Dummheit zu schützen ;)

als normaler user ist man eh kein *lohnendes* ziel für die *größen der branche* ;) und die script kiddies kann man mit iptables ganz gut auf abstand halten :D


Gruß HL

zum testen der rules kannst du in

/etc/init.d/bootmisc.sh

(vor die letzte zeile : exit 0 versteht sich)

( ( sleep 300; /etc/init.d/iptables stop ) & )
schreiben; mal angenommen dein service heisst iptables.

dann hast du 5 min. (300 sekunden) zeit um festzustellen,
was du verbogen hast. wenn du dich ausgesperrt hast, kannst
du die zeit gut nutzen um nachzudenken woran das wohl liegt. :D

hoffe das hilft dir weiter.

gruss, systemdefender.

e/ spell