Ich habe einen WebServer installiert. Darauf laeuft mod_ssl, mysql, jserv, php und ein eigenes Java-Programm das auf Port 26000 bzw. 26001 horcht. Ftp und SSH sollen fuer Wartung des Server laufen. Jetzt wollte ich euch fragen ob die Konfig der ipchains so wie unten aufgefuehrt OK ist.
-------Begin ipchains -F input ipchains -P input DENY ipchains -P output ACCEPT ipchains -P forward DENY #SSH ipchains -A input --dport 22 -p udp -j ACCEPT ipchains -A input --dport 22 -p tcp -j ACCEPT #http ipchains -A input --dport 80 -p udp -j ACCEPT ipchains -A input --dport 80 -p tcp -j ACCEPT #https ipchains -A input --dport 443 -p udp -j ACCEPT ipchains -A input --dport 443 -p tcp -j ACCEPT #ftp ipchains -A input --dport 20 -p udp -j ACCEPT ipchains -A input --dport 20 -p tcp -j ACCEPT ipchains -A input --dport 21 -p udp -j ACCEPT ipchains -A input --dport 21 -p tcp -j ACCEPT #java programm ipchains -A input --dport 26000 -p tcp -j ACCEPT ipchains -A input --dport 26001 -p tcp -j ACCEPT -------End falls Du einen oeffentlichen Webserver installierst, solltest Du Dir dringend gute Literatur zulegen. IMHO fehlen bei Deinen Chains ein
Hi Ingo, paar Punkte. Wie sieht es mit dem ACK-Bit aus. Das wird von dem System im ersten Packet gesetzt, welches den Verbindungsaufbau initiert (nur bei TCP). Ausserdem sollten alle Policities auf deny gesetzt sein. Es ist keine gute Idee die output Policity auf ACCEPT zu setzen, so koennen alle Informationen ueber Dein System nach draussen. Die Source-IP repektive die destination-IP sollten soweit moeglich gesetzt sein. Es bringt Dir nichts wenn alles funktioniert und Deine Regeln gar nicht greifen, da die entsprechende Policity auf ACCEPT gesetzt ist. Wie gesagt, wenn Du einen oeffentlichen Webserver aufsetzt, wuerde ich sehr vorsichtig sein. Der Aufbau von chains welche wirklich nur das zulassen was Du moechtest ist relativ komplex, deswegen bringt es Dir glaube ich nichts, die einzelnen Regeln durchzugehen. Ein guter Einstiegstpunkt im Netz ist das Firewall HOWTO von Guido Stepken ( www.little-idiot.de ). Allerdings sind ein oder zwei gute Buecher darueber hinaus durchaus sinnvoll. by Joerg --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com