Hi Christian,
On Mon, May 21, 2001 at 07:26:57PM +0200, Christian Schmidt wrote:
> Hallo miteinander,
> momentan versuche ich, meinen Server mit ipchains nach außen hin ein
> wenig abzudichten.
> Dabei wollte ich gerne nach dem Prinzip "alles, was nicht erlaubt ist,
> ist verboten" fahren, sprich: Die Default Policy für input steht auf
Das Beste, was du machen kannst...
> DENY, und ich öffne dann die Ports für die benötigten Dienste.
> Die Zeitschrift "Linux USER" hat in einer der letzten Ausgaben einen
> Artikel zu diesem Thema gebracht, bei dem ich mich auch ein wenig
> bedient habe.
> Dort wird auch zunächst einmal "alles dichtgemacht". Damit Antworten
> auf DNS-Anfragen auch wieder ankommen, wird folgende Regel benutzt:
>
> for NS in `/usr/local/bin/resolv-list`;do
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p udp -j ACCEPT
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p tcp -j ACCEPT
> done
>
Ergänze diese Regeln mal um ein -l und setze die Default-Policy für input
auf ACCEPT und setze am Ende deines Firewall-Skriptes mal
ipchains -A input -d $LOCALIP -i $ISDN -j ACCEPT -l
Damit blockst du alle Pakete, die rein wollen, aber nicht dürfen und loggst
sie (-l) in /var/log/messages.
> [SNIP]
Rufe dann mal > tail -f /var/log/messages < auf und setze einen ping auf
einen Server deiner Wahl (auf den namen, versteht sich).
Jetzt wird in /var/log/messages geloggt, welche Pakete abgewiesen werden.
Dementsprechend was da steht, kannst du die ipchains-Ketten aufsetzen.
Falls du nicht weiter weißt, poste den Abschnitt mit den Meldungen aus der
/var/log/messages und wir sehen weiter.
Gruss Udo
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------
847 eingetragene Mitglieder in dieser Liste.