Re: Firewallfrage?
On Wed, 11 Sep 2002, Arne Braun spake thusly: Ulrich Wiederhold [EMAIL PROTECTED] wrote: Bin mir nicht ganz sicher (habe meinen Rechner lange nicht neu gestartet), aber wenn Du das Script laufen läßt und dann die aktiven Regeln Debian-like mittels /etc/init.d/iptables save_active übernimmst, sollten sie nach dem Reboot automatisch ausgeführt werden. Hast Du es so schon mal versucht? Ja es geht ist aber leider zuspät siehe mail gehackt??? Für die Zukunft: Ein Paketfilter erspart dir nicht die sichere Konfiguration deines Rechners. dh erstens alle Dienste die du nicht brauchst wegmachen. Die anderen sicher konfigurieren, dh wenn du sie zB nicht nach außen anbieten willst, nur auf das interne Interface binden. Wenn trotzdem noch einige Dienste nicht sicher zu bekommen sind, dann kannst du über einen Paketfilter nachdenken. Das wichtigste nach einer vernünftigen Konfiguration, wäre dann die einschlägigen Mailinglisten (Bugtraq und Konsorten) zu lesen um schnell auf Sicherheitslücken reagieren zu können. Du wirst nicht um das Lesen von massenhaft Dokumentation kommen. bye Gerhard -- (PGP2|gpg)-key available, to get it, send me an e-mail with Subject: (pgp|gpg)-key request -- Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Firewallfrage?
Hallo Ulli, On Mon, 9 Sep 2002 23:56:04 +0200 Ulrich Wiederhold [EMAIL PROTECTED] wrote: Bin mir nicht ganz sicher (habe meinen Rechner lange nicht neu gestartet), aber wenn Du das Script laufen läßt und dann die aktiven Regeln Debian-like mittels /etc/init.d/iptables save_active übernimmst, sollten sie nach dem Reboot automatisch ausgeführt werden. Hast Du es so schon mal versucht? Ja es geht ist aber leider zuspät siehe mail gehackt??? Gruß Arne msg18531/pgp0.pgp Description: PGP signature
Re: Firewallfrage?
Hallo Rainer, On Sun, 8 Sep 2002 11:56:35 +0200 Rainer Ellinger [EMAIL PROTECTED] wrote: Das ist keine Firewall, sondern ein Paketfilter. Ein ausschliesslich auf Connection-Tracking (Stateful Inspection) und Interface-Wildcards basierendes Regelwerk für den Paketfilter kann so aufgebaut sein, dass es unabhängig vom Zustand der Interfaces und der Einwahl ist. Aus Sicherheitstrategischer Perspektiver ist diese Variante sogar empfehlenswert. /sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT/sbin/iptables -A STATEFUL -m state --state NEW -i ! ppp+ -j ACCEPT/sbin/iptables -A STATEFUL -j DUMP Dies macht in dieser alleinstehenden Form gar nichts bzw. funktioniert nicht (DUMP). Die Tatsache, dass für Userchains Grossschreibung verwendet wird, lässt auf Anfängerwerk schliessen. ok dann ist es ein Paketfilter und das ist natürlich nicht das ganze Regelwerk sondern ein Auszug indem das Interface definiert ist. Zur Zeit startet pppoe das script da es aber schon bei Abruch der Verbindung und Wiedereinwahl abundzu nicht ausgeführt wurde würde ich es gern beim booten starten . Gruß Arne msg18280/pgp0.pgp Description: PGP signature
Re: Firewallfrage?
Hallo Arne, * Arne Braun [EMAIL PROTECTED] [020909 21:31]: ok dann ist es ein Paketfilter und das ist natürlich nicht das ganze Regelwerk sondern ein Auszug indem das Interface definiert ist. Zur Zeit startet pppoe das script da es aber schon bei Abruch der Verbindung und Wiedereinwahl abundzu nicht ausgeführt wurde würde ich es gern beim booten starten . Gruß Arne Bin mir nicht ganz sicher (habe meinen Rechner lange nicht neu gestartet), aber wenn Du das Script laufen läßt und dann die aktiven Regeln Debian-like mittels /etc/init.d/iptables save_active übernimmst, sollten sie nach dem Reboot automatisch ausgeführt werden. Hast Du es so schon mal versucht? Gruß Uli -- 'The box said, 'Requires Windows 95 or better', so i installed Linux - TKK 5 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Firewallfrage?
Hallo Liste, ist es mit folgender Regel auch möglich die Firewall vor dem Einwählen zu starten? # Stateful table /sbin/iptables -N STATEFUL /dev/null /sbin/iptables -F STATEFUL /sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT/sbin/iptables -A STATEFUL -m state --state NEW -i ! ppp+ -j ACCEPT/sbin/iptables -A STATEFUL -j DUMP Gruß Arne msg18119/pgp0.pgp Description: PGP signature
Re: Firewallfrage?
Arne Braun schrieb: ist es mit folgender Regel auch möglich die Firewall vor dem Einwählen zu starten? Das ist keine Firewall, sondern ein Paketfilter. Ein ausschliesslich auf Connection-Tracking (Stateful Inspection) und Interface-Wildcards basierendes Regelwerk für den Paketfilter kann so aufgebaut sein, dass es unabhängig vom Zustand der Interfaces und der Einwahl ist. Aus Sicherheitstrategischer Perspektiver ist diese Variante sogar empfehlenswert. /sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT/sbin/iptables -A STATEFUL -m state --state NEW -i ! ppp+ -j ACCEPT/sbin/iptables -A STATEFUL -j DUMP Dies macht in dieser alleinstehenden Form gar nichts bzw. funktioniert nicht (DUMP). Die Tatsache, dass für Userchains Grossschreibung verwendet wird, lässt auf Anfängerwerk schliessen. -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)