Hallo Steffen,
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ippp0 -p 6 \ -j ACCEPT ! -y -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ippp0 -p ! 6 \ -j ACCEPT
Also, Du möchtest bei tcp (kannst Du nicht -p tcp hinschreiben, spart ein cat /etc/protocols :)), daß keine Verbindungen aufgebaut werden können?
Sorry, ist ja ne input rule, hatte ich übersehen. Bleibt aber dabei: wäre mir zu "offen", das Ding.
Drum die Frage hier - was muesste man noch zumachen.
Nun, ich erlaube (i.d.R.) immer nur, was auch benötigt wird, d.h. TCP, UDP und ICMP, diese dann auch noch eingeschränkt. Es gibt u.B. Möglichkeiten, auch ohne SYN Bits einen Scan zu machen (gut, damit sollte man dann nix anfangen können, aber trozdem).
Ja, und alle anderen IP Protokolle: ICMP, GGP und wer weiß was es da noch gibt... Ja, IPSec noch...
Da bin ich ueberfragt - deswegen auch die Mail hier.
Wenn Du es nicht brauchst, verbiete es doch! Vielleicht läuft im
Wie macht man IPSec zu ?
Na ja, die TCP Regel gefällt mir persönlich auch nicht so :)
Nun, es sind halt alle TCP's erlaubt, ausser denen, die eine Verbindung aufbauen wollen (SYN).
Brauchts da noch weitere Regeln ?
"Brauchen"... man braucht überhaupt keine Firewall :) Und wenn
;-)
Masquerading als Addresshiding verkauft wird, gilts auch als eine der sichersten Firewalls :) IMHO aber JA, denn ich würde nur erlauben, was unbegingt nötig ist. Das werden dann auch mal 100 Regeln oder so, aber auf 'ner Pentiummaschine kein Problem (besonders, wenn da ne dünne Leitung hinter ist).
Meine Zielrichtung war ein Regelsatz fuer einen Internet-Benutzer und nicht fuer einen Provider (Services fuer Internet bereitstellen). Da muesste es doch reichen alle Arten von Verbindungsaufbauten aus dem Internet zu blockieren, oder ? Was fehlt dazu noch an Regeln ? Wohlgemerkt, als I-Net Benutzer will ich dann aber mit moeglichst wenigen Einschraenkungen herumschlagen muessen, aber meine System soll trotzden sicher sein.
oki,
Steffen
So long Petric --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com