Hi,
Benutze MDK9.1 mit modem und ohne netzwerkkarte.
Verwende folgende iptables regeln

#iptables -N block
#iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
#iptables -A block -j DROP
#iptables -A INPUT -j block
#iptables -A FORWARD -j block

wenn ich jetzt noch einzelne ports sperren möchte z.b. 137,
geht das mit

IPTABLES -A INPUT -p tcp --dport 137 -j drop

oder muß eine komplett andere konfiguration gewählt werden?
Beispiele für die konfiguration von netfilter gibt es im Internet genügend,
beziehen sich leider aber ausschließlich auf Netzwerke.

Daher meine frage, ist eine Veränderung überhaupt sinnvoll, b.z.w. reicht die Konfiguration aus?

anscheinend hast du keine default policy selbst gesetzt

folgen:

- jeglicher traffic ausgehend von deinem rechner ist erlaubt
- eingehende verbindungen auf ppp0 werden geblockt
- da du keine NIC hast, ist die forward regel unbedeutent (oder hast du noch ein anderes device?)


wenn ich jetzt noch einzelne ports sperren möchte z.b. 137,
geht das mit

IPTABLES -A INPUT -p tcp --dport 137 -j drop

diese rule ist auch unbedeutend, da sie von der block-chain schon abgefangen wird
willst du wirklich sämtlichen traffic zu port 137 blocken, muss diese rule als erste in die block-chain

an dem script würde ich selbst noch bisschen feilen:
die namensgebung der chains verwirrt (in block chain accept targets, besser: return)
obwohl kein device fürs forwarding vorhanden, forwarding rules integriert
ausgehender traffic komplett erlaubt :sarcastic:
rules noch genauer definieren (ziel, quelle, device,..)
...

greez

Hi,
wenn ich dich richtig verstanden habe würde diese Konfiguration
#iptables -P INPUT DROP
#iptables -A INPUT -p tcp --dport 137 -j drop
#iptables -P OUTPUT ACCEPT
#iptables -N block
#iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
#iptables -A block -j DROP
#iptables -A INPUT -j block

Port 137 eingehend sperren?

Von www.harry.homelinux.org habe ich mir ein Beispielscript erstellen lassen(Anhang),
bezieht sich aber ebenfalls auf eine Konfiguration mit Netzwerkkarte und ist so für mich
nicht brauchbar.

Einige sachen wie

# Korrupte Pakete zurueckweisen
#iptables -A INPUT -m state --state INVALID -j DROP
#iptables -A OUTPUT -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
#iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

könnten aber ja hinzugefügt werden (Zwischen den "default" Regeln?)

Einiges kann man bei meiner Distri auch in der sysctl.conf machen,

# Controls IP packet forwarding
net.ipv4.ip_forward = 0
# Disables IP dynaddr
net.ipv4.ip_dynaddr = 0
# Disable ECN
net.ipv4.tcp_ecn = 0
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# Controls the System Request debugging functionality of the kernel
#kernel.sysrq = 0
# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_echo_ignore_all=1
net.ipv4.conf.all.log_martians=1
kernel.sysrq=1

Habe schon einige zusätzliche Einträge probiert(entsprechend der beispiele), bekomme dann aber Kernel fehlermeldungen das keine Ethernet Karte gefunden wurde.
Welche zusätzlichen Einträge wären bezogen auf meine Konfiguration überhaupt sinnvoll?

hi

oben hast du richtig verstanden
die angaben aus harry´s script sind auch okay - also einbauen meine ich

die sysctl befehle kannst du verwenden, aber das ist meist so individuell, dass ich nur dieses tutorial empfehlen kann
http://ipsysctl-tutorial.frozentux.net/ipsysctl-tutorial.html

greez

@emba

wirklich ein sehr gutes Tutorial!

@SH111
Ich empfehle Dir (wenn Dich das Thema Linux Firewalls weitergehend interessiert)
Dir das Buch "Linux Firewalls - ein praktischer Einstieg" aus dem oreilly Verlag zu kaufen (38 €)

Ich habs mir grad gekauft und es ist wirklich gut da man auch über die zugrundeliegenden Protokolle und praktische Angriffe auf Netzwerke informiert wird...

mfg
cane

Original geschrieben von SH111
Von www.harry.homelinux.org habe ich mir ein Beispielscript erstellen lassen(Anhang),
bezieht sich aber ebenfalls auf eine Konfiguration mit Netzwerkkarte und ist so für mich
nicht brauchbar. Wenn du keine Netzwerkkarte hast, warum wählst du sie dann beim Generator aus?