Re: Ich brauche eine Firewall!

Sun, 15 Dec 2002 05:42:57 -0800 

On Sun, Dec 15, 2002 at 11:53:08AM +0100, Markus Hansen wrote:
> Also, ich will emails abrufen können(wenn nicht anders vermerkt, dannnur 
Vorab: nutze einen 2.4er Kernel. Stateful Inspection (wichtig und
sinnvoll) gibts erst seit iptables. Dann solltest Du Dich mit dem
Logging vertraut machen. Es hilft ungemein die notwendigen Pakete /
Ports freizugeben, wenn Du weisst, was Du brauchst.

Im Default ist alles zu verbieten und lediglich das Loopback
freizuschalten:
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -F

Für die interne Prozesskommunikation musst Du Loopack freischalten:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Beispiel für eMails über Pop3s:
iptables -A OUTPUT -p TCP -s 0/0 --sport 1024:65535 -d 0/0 \
         --dport 995:995 -j ACCEPT
iptables -A INPUT -p 6 -s 0/0 --sport 995:995 -d 0/0 \
         --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# für pop3: 110 anstelle Port 995 usw.

> http, https,
siehe oben - nur mit Port 80 bzw. 443 anstelle 995 ,-)

> ssh (rein und raus), 
# Ausgehende Verbindung zu fremdem SSH-Server
iptables -A OUTPUT -p TCP -d 0/0 --dport 22 \
         -s 0/0 --sport 1024:65535 -o eth0 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 22 -d 0/0 --dport \
         1024:65535 -m state --state RELATED,ESTABLISHED \
         -i eth0 -j ACCEPT

# Eingehende Verbindung zum lokalen SSH Server
iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 \
         -d 0/0 --dport 22 -i eth0 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
         -s 0/0 --sport 22 -o eth0 -j ACCEPT
# Nach Möglichkeit für -s 0/0 bzw d 0/0 IP-Adresse der
# Rechner die auf lokalen SSH zugreifen sollen eingeben!

> ftp(raus, evtl. bald auch rein), auf 
Arg. Wirklich? Wenn lokalen FTP Server dann bitte im aktiv Modus. Und
ausgehende FTP Verbindungen dagegen _nur_ passiv:

# Eingehender Zugriff auf lokalen FTP-Server (aktiver Modus)
iptables -A INPUT -p TCP -s 0/0 --sport 1024:65535 \
         -d 0/0 --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
         -s 0/0 --sport 20:21 -j ACCEPT

# Ausgehender Zugriff auf fremde FTP-Server (passiver Modus)
iptables -A OUTPUT -p TCP -d 0/0 --dport 21 \
         -s 0/0--sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -s 0/0 --sport 21 -d 0/0 \
         --dport 1024:65535 -m state --state \
         RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p TCP -d 0/0 --dport 1024:65535 \
         -s 0/0 --sport 1024:65535 -j ACCEPT
iptables -A INPUT -p TCP -d 0/0 --dport 1024:65535 -s 0/0 \
         --sport 1024:65535 -m state --state \ 
         RELATED,ESTABLISHED -j ACCEPT

> gemountete FS auf dem Server zugreifen (rein & raus).
Was für ein FS? Samba? Apple Talk? NFS?


greetinXs,
Michael Hilscher

-- 
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds


-- 
Häufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an