 Verfasst am: 07.01.2006 00:19 |
 |
|
| Cerox |
|
 |
 |
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
 |
|
Hier mal mein iptables Script. Diejenigen, die sich da auskennen, können sich ja mal äußern.
| Code: |
#iptables-Script
#Module laden
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_nat
#Routing aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward
#TCP Syncookies aktivieren
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#RST bei vollem Buffer senden
echo "1" > /proc/sys/net/ipv4/tcp_abort_on_overflow
#TCP FIN,ACK Timeout
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
#Verbindungsaufbau nach 3 SYN-Anfragen unterbrechen
echo "3" > /proc/sys/net/ipv4/tcp_syn_retries
#Keine Redirection
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
#Kein Source-Routing
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
#ICMP Broadcasts ignorieren
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Killt Pakete aus dem Adressraum 0.X.X.X
echo "0" > /proc/sys/net/ipv4/conf/all/bootp_relay
#Killt gespoofte Pakete
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#Alle Regeln löschen
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F DROPKETTE
iptables -X DROPKETTE
#Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Loopback-Kommunikation immer erlauben
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#Lokale Kommunikation immer erlauben
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
#Logging-Kette
iptables -N DROPKETTE
iptables -A DROPKETTE -j LOG -m limit --limit 5/s --log-prefix "Blockiert:"
iptables -A DROPKETTE -j DROP
#ICMP eingehend
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type timestamp-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type timestamp-request -j ACCEPT
#ICMP ausgehend
iptables -A OUTPUT -p icmp -j ACCEPT
#Server-Ports freigeben
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Ausgehende Services zulassen
iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Antworten hergestellter Verbindungen
iptables -A INPUT -p tcp --sport 20:21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
#ICQ
iptables -A OUTPUT -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT -p tcp --sport 5190 -j ACCEPT
#Passives FTP mit folgenden Servern zulassen
iptables -A OUTPUT -p tcp -d 83.133.51.34 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 83.133.51.34 --sport 1024:65535 -j ACCEPT
#Unzulässige Pakete loggen
iptables -A INPUT -j DROPKETTE
iptables -A FORWARD -j DROPKETTE
iptables -A OUTPUT -j DROPKETTE |
Geloggt werden alle verworfenen Pakete, um das später analysieren zu können.
Eingehende Verbindungen werden nur sehr begrenzt zugelassen; an ausgehenden Verbindungen erlaube ich die Dienste, welche ich benötige.
Aufgrund der Tatsache, dass PassiveFTP einen Zufallsport höher 1024 auf dem Server benötigt und ich nicht alles nach außen freigeben will, habe ich das Ganze auf einen Server beschränkt, den ich für FTP brauche.
ICMP-Nachrichten, die ich für wichtig halte, lasse ich eingehend zu - nach außen hin wird ICMP komplett zugelassen.
Ich freue mich auf eure Anregungen. |
|
|
|
|
 | |  |
| Verfasst am: 07.01.2006 03:19 |
|
|
| Phara0h |
|
 |
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 357 |
| Wohnort: /dev/RL |
|
|
|
|
|
|
Hmm.... was soll ich dazu großartig sagen?
Das Script hast du im cb-Forum schon gepostet und da positives Feedback von den Leuten erhalten, die sich mit iptables auskennen...
Ich hab mich noch nie damit befasst... (Muss ich nachholen^^) |
|
|
|
|
| Verfasst am: 07.01.2006 11:25 |
|
|
| DeKarlsQuell |
|
|
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 36 |
|
|
|
|
|
|
|
/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j DROP
Ich hab was gegen Pings...  |
|
|
|
|
| Verfasst am: 07.01.2006 14:57 |
|
|
| duddits |
|
 |
|
| Anmeldedatum: 03.01.2006 |
| Beiträge: 569 |
| Wohnort: /proc |
|
|
|
|
|
|
Hi,
das einzige was ich ändern würde ist, ich würde den absoluten Pfad(so wie es DeKarlsQuell macht) zu iptables benutzen und am besten mit Variabel arbeiten, somit sind änderungen leichter vorzunehmen, aber bei der Größe dieses iptables scriptes ist noch nicht unbedingt notwendig.
Wenn man mit Variabeln arbeitet, dann am besten so:
IPT=$(which iptables) #dadurch wird der Pfad zu iptables gefunden auch wenn das Script plötzlich auf einer anderen Distribution läuft.
mfg duddits |
|
|
|
|
| | |
| Verfasst am: 07.01.2006 15:09 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Ja, das mit dem Pfad sollte ich mal machen.
| Zitat: | | Ich hab was gegen Pings. |
Naja, kann ich nicht nachvollziehen. Ich habe dazu auch schon in anderen Foren Diskussionen gehabt.
Was bringt es dir Pings zu verwerfen?
Einem Script-Kiddie bringt es überhaupt nichts wenn es dich anpingen kann.
Und jemand, der sich halbwegs auskennt, sieht auch mit einem Portscan, dass du online bist. |
|
|
|
|
| Verfasst am: 07.01.2006 15:17 |
|
|
| duddits |
|
|
|
| Anmeldedatum: 03.01.2006 |
| Beiträge: 569 |
| Wohnort: /proc |
|
|
|
|
|
|
Hi,
hab mir ein Buch zu iptables Bestellt um mich mit dieser Materie weiter zu beschäftigen und hoffe dort eine vernünftige Lösung zu finden, die es auch Portscannern erschwert, meine Ports zu scannen.
mfg duddits |
|
|
|
|
| Verfasst am: 07.01.2006 15:36 |
|
|
| DeKarlsQuell |
|
|
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 36 |
|
|
|
|
|
|
|
| Zitat: | | Was bringt es dir Pings zu verwerfen? |
Wenn jetzt z.B jemand die IP-Range abscannt (z.B mit einem Security-Scanner) in der sich mein Server befindet und bei vielen Scanner ist es so, dass sie wenn kein ICMP "echo" bekommen weiter zum nächsten Ziel wechseln und so werden meine Snort-Logfiles nicht so voll gespammt. |
|
|
|
|
| Verfasst am: 07.01.2006 15:40 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Jedem seine Meinung, ob er ICMP akzeptiert, zurückweist oder ignoriert. |
|
|
|
|
| Verfasst am: 07.01.2006 16:28 |
|
|
| DeKarlsQuell |
|
|
|
| Anmeldedatum: 04.01.2006 |
| Beiträge: 36 |
|
|
|
|
|
|
|
Noch als Anmerkung zum Tehma ICMP blocken: Nur ICMP Typ 8,0 blocken
(Echo, Echo reply) da Normalerweise von jedem Router/Server/PC
erwartet wird das er das ICM Protokoll unterstützt, da die anderen ICMP- Typen zur Diagnose usw verwendet werden. Zwar kann man mit den
meisten der anderen ICMP-Typen auch Attacken durchführen, diese sind
aber meistens zu schwer durchzuführen und die ganzen Script-Kiddys
können sie nicht. |
|
|
|
|
| Verfasst am: 07.01.2006 16:30 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
| Ich sehe bei den Typen Echo Request und Echo Reply keine Angriffsmöglichkeiten. Wenn jemand mich durch einen Massenping einer IP-Range online sieht und dann diverse Ports scannt, soll er glücklich werden - das bringt ihm auch nichts. |
|
|
|
|
| | |
| Verfasst am: 15.08.2006 10:06 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Hi,
die ganzen Netzwerksicherheitseinstellungen, wie z.B. redirections, source routing usw., können zum einen wie oben geändert werden:
| Code: | | echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects |
Dadurch wird der Kernelparameter bis zum nächsten Neustart verändert; dann wird er mit dem Script neu gesetzt.
Da mir das Firewall-Script aber nun zu lang wurde (das oben ist ja etwas veraltet und auf dem Server ist es etwas länger), habe ich das nun mit sysctl gelöst.
Per "sysctl -A" kann man sich alle Optionen und Werte auflisten lassen; z.B. redirections: "sysctl -A | grep accept_redirects". Gesetzt werden sie dann per "sysctl -w option=wert" -> weitere Informationen: man sysctl
Der Vorteil liegt nun an der /etc/sysctl.conf, die beim Systemstart automatisch ausgewertet wird und somit nur editiert werden muss.
Hier mal ein Beispiel:
| Code: | #
# /etc/sysctl.conf - Configuration file for setting system variables
# See sysctl.conf (5) for information.
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
net/ipv4/conf/all/accept_redirects=0
net/ipv4/conf/all/secure_redirects=0
net/ipv4/conf/all/send_redirects=0
net/ipv4/conf/all/forwarding=0
net/ipv4/tcp_syncookies=1
net/ipv4/log_martians=1
net/ipv4/rp_filter=1
net/ipv4/accept_source_route=0
net/ipv4/tcp_abort_on_overflow=1
net/ipv4/tcp_fin_timeout=30
net/ipv4/tcp_syn_retries=3 |
Somit hat man wieder Platz für die eigentlichen Firewall-Regeln im iptables-Script. |
|
|
|
|
| Verfasst am: 20.07.2007 18:10 |
|
|
| duddits |
|
|
|
| Anmeldedatum: 03.01.2006 |
| Beiträge: 569 |
| Wohnort: /proc |
|
|
|
|
|
|
Hi,
auch wenn der Thread schon angestaubt ist, möchte ich dennoch ein paar Anregungen los werden.
| Cerox hat Folgendes geschrieben: |
| Code: |
#iptables-Script
...
#Server-Ports freigeben
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
|
|
Kommen wir zunächst zum Punkt Services die angeboten werden, hier bietet es sich das ganze wie folgt zu lösen:
| Code: |
IPT=/sbin/iptables
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
|
Dabei werden hier nur neue Verbindungen auf Port 22 zugelassen und falls man nun vorhat noch weitere Services anzubieten kann man ganz leicht ohne viel Aufwand weitere Ports freigeben:
| Code: |
IPT=/sbin/iptables
$IPT -A INPUT -p tcp -m multiport --dport 22,80,443 -m state --state NEW -j ACCEPT
|
wenn man nun weitere Pakete die zu dieser Verbindung gehören auch erlauben möchte, so kann man dies ganz einfach mit einem Befehl abklären:
| Code: |
IPT=/sbin/iptables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
somit bleibt das Script weiterhin sehr übersichtlich.
| Cerox hat Folgendes geschrieben: |
| Code: |
#Ausgehende Services zulassen
iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Antworten hergestellter Verbindungen
iptables -A INPUT -p tcp --sport 20:21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT |
|
Nun auch hier kann man noch was fein Tuning durchführen:
| Code: |
IPT=/sbin/iptables
#Ausgehende Services zulassen
$IPT -A OUTPUT -p tcp -m multiport --dport 20,21,22,,25,80,110,443 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport --dport 53 -m state --state NEW -j ACCEPT
#Antworten hergestellter Verbindungen
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
Somit ist das ganze wesentlich übersichtlicher und man hat Zeilen gespart.
Weiterhin kann man, falls man z.B. mehrer User auf dem System hat oder Services anbietet wie z.B. Apache dem User Apache das Aufbauen einer Verbindung mit dem Owner-Match unterbinden:
| Code: |
IPT=/sbin/iptables
#Ausgehende Services nur für duddits zulassen
UID=$(id -u duddits)
$IPT -A OUTPUT -m owner --uid-owner $UID -m state --state NEW -j ACCEPT
# Der Webserver Apache darf keine Verbindung aufbauen
UID=$(id -u apache)
$IPT -A OUTPUT -m owner --uid-owner $UID -m state --state NEW -j REJECT
|
| Cerox hat Folgendes geschrieben: |
| Code: |
#Passives FTP mit folgenden Servern zulassen
iptables -A OUTPUT -p tcp -d 83.133.51.34 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 83.133.51.34 --sport 1024:65535 -j ACCEPT
|
|
An sich ist das zwar in Ordnung, jedoch sollte man als Ziel-Port nur 21 angeben, da sich das Modul ip_conntrack_ftp darum kümmert und erkennt welche Pakete zu dieser Verbindung gehören.
Die Technik die Hierbei zum Einsatz kommt, nennt sich Stateful_Inspection und wird bei Iptables durch das oben genannten Modul aktiviert.
Also um z.B. Verbindungen auf einen FTP-Server, ob dieser nun aktives oder passives FTP einsetzt spielt dabei keine Rolle, zu erlauben, kann man wie folgt vorgehen:
| Code: |
IPT=/sbin/iptables
MODPROBE=/sbin/modprobe
$MODPROBE ip_conntrack_ftp
$IPT -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
Weiterhin würde ich das Modul ip_nat_ftp nicht laden, sofern kein NAT durchgeführt wird. Wenn der FTP-Server schon fest steht, so sollte man diesen natürlich bei der Regel berücksichtigen, wie du es oben schon gemacht hattest.
Gruß Daniel |
|
|
|
|
| | |
| Verfasst am: 20.07.2007 19:14 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Danke für die Anregungen; das macht das ganze doch wesentlich kürzer, wenn ich mal wieder mit iptables arbeite. Mal ein paar Fragen, die sich so beim Durchlesen ergeben haben; ausprobiert habe ich davon nichts. Ich lebe also jetzt nur in einer theoretischen Welt 
| Zitat: | | Somit ist das ganze wesentlich übersichtlicher und man hat Zeilen gespart. |
| Zitat: | | $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
Wozu lässt du denn oben neue Verbindungen zu und hier sowieso bereits hergestellte? Dann kannst du doch genauso bei deiner multiport-Zeile den Verbindungsstatus weglassen. Das zum Thema Zeilen sparen.
| Zitat: | | $IPT -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT |
Das kann ich nicht nachvollziehen; du möchtest doch ausgehende FTP-Verbindungen erlauben, oder nicht? Wieso gibst du dann deinen lokalen FTP-Kontrollport frei?
| Zitat: | $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT |
Hiermit lässt du wieder alle Verbindungen, welche bereits hergestellt wurden, sowohl eingehend als auch ausgehend, zu, wodurch einige Zeilen oben wieder überflüssig werden.
Zum eigenen FTP-Server:
Das Modul ip_conntrack_ftp habe ich geladen (wie oben zu sehen), jedoch musste ich die passiven Ports trotzdem freigeben, wenn ich nicht alle hergestellten Verbindungen erlauben möchte. Ich habe beim ProFTPd irgendwann angefangen, die Direktive "PassivePorts" zu verwenden, wodurch man nicht alle Ports über 1024 freigeben muss.
Naja, hab lange nichts mehr mit iptables gemacht und hoffe mal, dass ich jetzt nicht totalen Mist erzählt habe... |
|
|
|
|
| | |
| Verfasst am: 21.07.2007 03:22 |
|
|
| duddits |
|
|
|
| Anmeldedatum: 03.01.2006 |
| Beiträge: 569 |
| Wohnort: /proc |
|
|
|
|
|
|
Hi,
ich hatte mich da wohl verschrieben natürlich sollte es bei FTP so aussehen:
| Code: | | $IPT -A OUTPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT |
Damit ist es mir möglich mich mit jeden FTP-Server zu verbinden (natürlich müssen irgendwo im Script auch folgende Befehle auftauchen:
$MODPROBE ip_conntrack_ftp
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT)
| Zitat: | | Wozu lässt du denn oben neue Verbindungen zu und hier sowieso bereits hergestellte? Dann kannst du doch genauso bei deiner multiport-Zeile den Verbindungsstatus weglassen. Das zum Thema Zeilen sparen. |
Damit das Connection Tracking funktioniert muss zunächst für einen bestimmten Port in der entsprechenden Kette neue Verbindungen(-m state --state NEW -j ACCEPT) freigegeben werden und mit -m state --state ESTABLISHED,RELATED -j ACCEPT werden Verbindungen die im Zusammenhang (Related) oder halt direkt zur Verbindung gehören (Established) erlaubt.
Jeder meiner Code Schnippsel ist bzw. soll unabhängig voneinander sein, daher tretten Wiederholungen von bestimmten Befehlen auf.
Nunja um nochmal zum FTP zu sprechen zu kommen, geht es hier um den FTP-Server der selber bei dir steht und durch Iptlabes eingeschränkt bzw. geschützt werden soll oder das du dich mit einem verbindes?
Gruß
Daniel |
|
|
|
|
| | |
| Verfasst am: 21.07.2007 11:14 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beiträge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
In meinem letzten Abschnitt geht es um einen eigenen FTP-Server, der auf dem selben Server wie der Paketfilter läuft. Wie ich schon sagte, möchte ich nicht, alle hergestellten Verbindungen erlauben; daher erlaube ich eine gewisse Portrange für den FTP-Server (PassivePorts Direktive beim ProFTPd Server).
| Zitat: | | Damit das Connection Tracking funktioniert muss zunächst für einen bestimmten Port in der entsprechenden Kette neue Verbindungen(-m state --state NEW -j ACCEPT) freigegeben werden und mit -m state --state ESTABLISHED,RELATED -j ACCEPT werden Verbindungen die im Zusammenhang (Related) oder halt direkt zur Verbindung gehören (Established) erlaubt. |
Mag ja sein, aber:
| Zitat: | | $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
Mit dieser Zeile beispielsweise, lässt du alle Pakete zu, die zu einer bereits hergestellten Verbindung gehören, nicht nur FTP-Pakete. Ich habe die Zeile schon früher immer für die Output-Tabelle verwendet, und dann mit "--state NEW" die entsprechenden ausgehenden Dienste definiert, welche erlaubt sein sollen. |
|
|
|
|
| | |
| Foren-Übersicht » Netzwerksicherheit |
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 2
Gehe zu Seite 1, 2 Weiter
|
|
|
|
|
