PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables



lehrling2
16.07.03, 10:55
hi,

ich komme mit dem iptables nicht klar.....

ich habe einen linux-router mit iptables der zwei netzwerkkarten hat (eth0, eth1). nun soll der komplette daten verkehr und alle port zwischen den zwei karten offen sein zum routen (kein NAT). ich möchte nur das keiner die linuxkiste "hack" kann.

also es soll alles durch gehen aber niemand soll auf dei maschine zugreifen können.

geht sowas???


lehrling

emba
16.07.03, 22:14
netfilter/iptables ist ein stateful packet filter

mit hacking in dem sinne hat das erstmal nichts weiter zu tun.
es kontrolliert nur den datenverkehr zwischen 2 rechnern/netzen und handled diesen entsprechend von rules

natürlich fängt hacking immer mit dem ausspionieren von daten bzw. dem bypassing von hindernissen an, was eine firewall verhindern soll

um deine frage des vorkehrens von hacking zu beantworten:

schalte alle dienste ab, die nicht benötigt werden
sichere dein sys nach außen hin mit entsprechenden rules ab
installiere wächter wie tripwire, snort, chrootkit
checke dein sys auf schwachstellen (nessus)
update dein sys reg.
installiere nur notwendige software
halte dich auf dem laufenden über sicherheitslöcher, was hilfreich ist, wenn noch keine patches draußen sind
sichere das filesystem ab (crypto, paranoide rechte,..)
erlaube nur verschlüsselten traffic im netz
stelle fallen -> honeypot
reagiere auf angriffsmuster -> intrusion prevention systems
sichere die clients ab
stelle server in eine DMZ
hardening des systems (sec. kernel patches, bastile, titan, [harden suse])
zu guter letzt evtl. die firewall auf ein "read-only" medium packen

vllt. das noch interessant
http://www.cert.dfn.de/
www.securityfocus.com
http://www.heise.de/security/foren/go.shtml?read=1&msg_id=3728715&forum_id=44153
SUFU

greez

swen1
17.07.03, 07:35
Original geschrieben von lehrling2
also es soll alles durch gehen aber niemand soll auf dei maschine zugreifen können.

geht sowas???

Ja, das geht.
Wenn Du alle obengenannten Punkte erfüllt hast, kannst Du Dir ein Firewallskript erstellen, welches alles zu Deinem Router blockt (Input-Kette) und alles zwischen den Netzen durchläßt (Forward-Kette).

Gruß Swen