Home | Content | Search | Navigation | Indexes
 

Mailinglist Archive: opensuse-de (4451 mails)

< Previous Next >
Re: Firewall Konfiguration
  • From: pfrank@xxxxxx (Petric Frank)
  • Date: Sat Apr 01 21:51:41 2000
  • Message-id: <38E66F6D.ABA96059@xxxxxx>



Hallo Steffen,

-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ippp0 -p 6 \
-j ACCEPT ! -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ippp0 -p ! 6 \
-j ACCEPT

Also, Du möchtest bei tcp (kannst Du nicht -p tcp hinschreiben,
spart ein cat /etc/protocols :)), daß keine Verbindungen
aufgebaut werden können?

Sorry, ist ja ne input rule, hatte ich übersehen. Bleibt aber
dabei: wäre mir zu "offen", das Ding.

Drum die Frage hier - was muesste man noch zumachen.

Nun, ich erlaube (i.d.R.) immer nur, was auch benötigt wird, d.h.
TCP, UDP und ICMP, diese dann auch noch eingeschränkt. Es gibt
u.B. Möglichkeiten, auch ohne SYN Bits einen Scan zu machen (gut,
damit sollte man dann nix anfangen können, aber trozdem).

Ja, und alle anderen IP Protokolle: ICMP, GGP und wer weiß was es
da noch gibt... Ja, IPSec noch...

Da bin ich ueberfragt - deswegen auch die Mail hier.

Wenn Du es nicht brauchst, verbiete es doch! Vielleicht läuft im

Wie macht man IPSec zu ?

Na ja, die TCP Regel gefällt mir persönlich auch nicht so :)

Nun, es sind halt alle TCP's erlaubt, ausser denen, die eine Verbindung
aufbauen wollen (SYN).

Brauchts da noch weitere Regeln ?

"Brauchen"... man braucht überhaupt keine Firewall :) Und wenn

;-)

Masquerading als Addresshiding verkauft wird, gilts auch als eine
der sichersten Firewalls :)
IMHO aber JA, denn ich würde nur erlauben, was unbegingt nötig
ist. Das werden dann auch mal 100 Regeln oder so, aber auf 'ner
Pentiummaschine kein Problem (besonders, wenn da ne dünne Leitung
hinter ist).

Meine Zielrichtung war ein Regelsatz fuer einen Internet-Benutzer und
nicht fuer einen Provider (Services fuer Internet bereitstellen). Da
muesste es doch reichen alle Arten von Verbindungsaufbauten aus dem
Internet zu blockieren, oder ?
Was fehlt dazu noch an Regeln ?
Wohlgemerkt, als I-Net Benutzer will ich dann aber mit moeglichst
wenigen Einschraenkungen herumschlagen muessen, aber meine System soll
trotzden sicher sein.

oki,

Steffen

So long
Petric

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx

< Previous Next >
Follow Ups