Mailinglist Archive: opensuse-de (4451 mails)

< Previous Next >
Re: ipchains konfiguration OK?
  • From: j.zimmermann@xxxxxxxxxxx (Jörg Zimmermann)
  • Date: Tue Apr 25 19:47:39 2000
  • Message-id: <011401bfaeef$1d3e4460$620aa8c0@xxxxxxxxxxx>



Hi Ingo,
Ich habe einen WebServer installiert. Darauf laeuft mod_ssl,
mysql,
jserv, php und ein eigenes Java-Programm das auf Port 26000 bzw.
26001 horcht. Ftp und SSH sollen fuer Wartung des Server laufen.
Jetzt wollte ich euch fragen ob die Konfig der ipchains
so wie unten aufgefuehrt OK ist.

-------Begin
ipchains -F input
ipchains -P input DENY
ipchains -P output ACCEPT
ipchains -P forward DENY
#SSH
ipchains -A input --dport 22 -p udp -j ACCEPT
ipchains -A input --dport 22 -p tcp -j ACCEPT
#http
ipchains -A input --dport 80 -p udp -j ACCEPT
ipchains -A input --dport 80 -p tcp -j ACCEPT
#https
ipchains -A input --dport 443 -p udp -j ACCEPT
ipchains -A input --dport 443 -p tcp -j ACCEPT
#ftp
ipchains -A input --dport 20 -p udp -j ACCEPT
ipchains -A input --dport 20 -p tcp -j ACCEPT
ipchains -A input --dport 21 -p udp -j ACCEPT
ipchains -A input --dport 21 -p tcp -j ACCEPT
#java programm
ipchains -A input --dport 26000 -p tcp -j ACCEPT
ipchains -A input --dport 26001 -p tcp -j ACCEPT
-------End
falls Du einen oeffentlichen Webserver installierst, solltest Du Dir
dringend gute Literatur zulegen. IMHO fehlen bei Deinen Chains ein
paar Punkte. Wie sieht es mit dem ACK-Bit aus. Das wird von dem
System im ersten Packet gesetzt, welches den Verbindungsaufbau
initiert (nur bei TCP). Ausserdem sollten alle Policities auf deny
gesetzt sein. Es ist keine gute Idee die output Policity auf ACCEPT
zu setzen, so koennen alle Informationen ueber Dein System nach
draussen. Die Source-IP repektive die destination-IP sollten soweit
moeglich gesetzt sein. Es bringt Dir nichts wenn alles funktioniert
und Deine Regeln gar nicht greifen, da die entsprechende Policity
auf ACCEPT gesetzt ist. Wie gesagt, wenn Du einen oeffentlichen
Webserver aufsetzt, wuerde ich sehr vorsichtig sein. Der Aufbau von
chains welche wirklich nur das zulassen was Du moechtest ist relativ
komplex, deswegen bringt es Dir glaube ich nichts, die einzelnen
Regeln durchzugehen. Ein guter Einstiegstpunkt im Netz ist das
Firewall HOWTO von Guido Stepken ( www.little-idiot.de ). Allerdings
sind ein oder zwei gute Buecher darueber hinaus durchaus sinnvoll.
by
Joerg

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx

< Previous Next >
References