Iptables Assistent

Florian Lohoff f at zz.de
Sun Feb 21 12:39:03 CET 2010 

On Sun, Feb 21, 2010 at 11:31:40AM +0100, Peter Lohmann wrote:
> Hi!
> 
> Gibt es eigentlich irgendeine Art Assistent für die Definition von Firewall
> (iptables) Regeln - am Besten einen, der ein Basic Ruleset z.B. gleich mitbringt?

Was ist denn so schwer an iptables das man da einen assistenten braucht?

Wenn man eine Kiste beschuetzen will die selber im Netz steht (Nicht hinter NAT) dann
einfach regeln in die INPUT table. Wenn es drum geht kisten hinter diesem 
Router zu beschuetzen dann dinge in die FORWARD table.

Wenn man NAT macht kann man die FORWARD table ignorieren es sei denn man ist
so paranoid auch ausgehenden traffic beschraenken zu wollen. 

Wenn man Gedanklich so weit ist besteht eine default table (mit connection tracking
d.h. stateful) aus 


1) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2) iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
3) iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
4) iptables -A INPUT -m state --state NEW -p icmp -j ACCEPT
5) iptables -A INPUT -j REJECT --reject-with=icmp-admin-prohibited



1) Alles zulassen und forwarden an paketen was wir bereits kennen oder was connection
maessig dazu gehoert - ist zum beispiel bei FTP interessant.
2) Alles von Localhost erlauben
3) Einzige ALLOW regel fuer einen port - D.h. tcp port 22 (ssh) lasse ich zu und
durch (-m state --state NEW) erzeuge ich fuer diese connection einen state der dann
bei folgenden paketen durch regel 1) abgefruehstueckt wird.
4) ICMP erlauben. Wichtig fuer alle arten von Netzwerktraffic, nicht nur PING. Z.b.
Network Unreachable, Host Unreachable, Port unreachable.
5) Alles andere rejected mit einem vernuenftigen ICMP code.

Fuer alle ports die man dann noch zusaetzlich erlauben will (oder protokolle) 
will man dann noch die regel 3 wiederholen fuer andere ports - 80, 25 oder auch
die protokolle (nicht ports) 50/51 (IPSec).

Feddich - FORWARD regel sieht im prinzip genauso aus - fuer 90% der Anwender
aber irrelevant da genattet wird und ich eh von aussen nach innen nicht
durchkommen kann "dank" NAT ...

Flo
-- 
Florian Lohoff                                                 f at zz.de
"Es ist ein grobes Missverständnis und eine Fehlwahrnehmung, dem Staat
im Internet Zensur- und Überwachungsabsichten zu unterstellen."
- - Bundesminister Dr. Wolfgang Schäuble -- 10. Juli in Berlin 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 827 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20100221/80516f36/attachment.sig>

More information about the Linux mailing list