Mailinglist Archive: opensuse-de (5835 mails)
| < Previous | Next > |
Re: IPtables: Alles Blocken (Stealth)
- From: Matthias Houdek <linux@xxxxxxxxx>
- Date: Wed, 13 Nov 2002 19:47:15 +0100
- Message-id: <200211131947.15566.linux@xxxxxxxxx>
Am Mittwoch, 13. November 2002 09:48 schrieb Achim Hoffmann:
> lieber Matthias, entschuldige dass ich etwas direkt werde, aber deine
> letzen 3 Postings zu diesem Thema waren, na sagen wir mal vorsichtig,
> unueberlegt.
> Die Zitate spare ich mir ...
>
> 1. was "von" bzw. "zu" eth1 bedeutet ist kontextabhaengig, d.h. ob ich von
> aussen auf die Firwall schaue oder auf der Firewall selbst sitzte, oder
> ob die Firewall ein Router ist.
> Aller Antworten hatten wohl den gleichen Kontext angenommen wie der
> Fragende, nur du siehst es anders (was nicht unbedingt verkehrt ist,
> aber darum anzunehmen dass das alle so sehen ist FALSCH, nicht die
> anderen Antworten).
> Im Kontext von iptables bedeutet "aussen" immer vor dem Interface, also
> auf dem Kabel, und "innen" tcp/ip-Treiber. Zwischen "aussen" und "innen"
> arbeitet iptables. Bei der FORWARD Chain ist es geringfuehgig anders.
Sicher, es ist Ansichtssache. Als Firewall betrachte ich das System, iptables
ist keine Firewall. Und da ist "von eth1" das, was von diesem NIC kommt. Aber
er meinte es wirklich anders; ich hab auch ehrlich gesagt nicht viel drüber
nachgedacht, was er damit bezwecken wollte, denn es würde nicht viel Sinn
machen.
> 2. -P und -i sind inkompatible, weil -P die Chain (oder sagen wir
> genauer: die letzte Regel der Chain) bearbeitet.
> waehrend -i auf genau eine Regel innerhalb der Chain zutrifft.
> Statt "Hä?" zu schreiben also besser: man iptables ;-)
Das ist richtig, und ich hab einfach nicht genau gelesen. Ich sollte einfach
in schlaftrunkenem Zustand die Liste meiden (oder vielleicht gleich den
Computer? ;-)
> 3. die Regel mit --sport 22 wurde angegeben weil explizit nach ssh gefragt
> wurde, schau einfach ins Archiv
Find ich nicht, ist aber auch egal.
> 4. klar ist der Rechner zu wenn man -P INPUT DROP macht, aber nur wenn
> keine weiteren Regeln angegeben werden.
> Das ist ein wesentlicher Unterschied zu
> iptables -A INPUT -j DROP
> und wenn du meine Beispiele anschaust, dann siehst du, dass ich nicht
> -A, sondern immer -I verwendet habe!
> Wenn dir -A -I und -P unklar ist: man iptables
Richtig, aber er wollte ja _erst_ mal alles dicht machen, mit -P <chain> DROP
mach ich alles dicht, was bis hierher in dieser Chain noch keine Regel
gefunden hat. Das ist ein kleiner, aber feiner Unterschied.
> Damit sind die Regeln nicht unsinnig, sondern sie machen ungefaehr (oder
> vielleicht sogar genau) das was gefragt wurde.
Die Frage ist, ob das auch von Stefan alles verstanden wurde. Denn nichts ist
IMHO schlimmer, als mit Halbwissen einen Paketfilter zu installieren und dann
zu meinen, man habe seinen PC mit einer geilen Firewall sicher(er) gemacht.
Zunächst sollte man sich im Klaren darüber werden, wie die Kommunikation über
halbwegs funktioniert. Dann sollte man sich Gedanken darüber machen, was an
Kommuniaktion überhaupt laufen kann - und was ich davon auf welchem Interface
mit welchen Regeln erlauben will.
Und dann kann man entscheiden, wie welche Regeln gesetzt werden sollen.
Deine angegebenen Regeln sind unsinnig, denn sie machen höchstens ungefähr
das, was gefragt wurde. Ist aber keine Kritik an deinen Regeln, denn die
Fragestellung war schon nicht eindeutig.
Alles in allem ist das aber ein sehr interessantes Thema und ich kann Stefan
nur empfehlen, sich intensiv mit der Materie zu befassen. Das Script in der
Mail von Joerg Henner ist ganz interesant, aber wirklich ehrlich durchkämpfen
und verstehen.
--
Gruß
MaxX
> lieber Matthias, entschuldige dass ich etwas direkt werde, aber deine
> letzen 3 Postings zu diesem Thema waren, na sagen wir mal vorsichtig,
> unueberlegt.
> Die Zitate spare ich mir ...
>
> 1. was "von" bzw. "zu" eth1 bedeutet ist kontextabhaengig, d.h. ob ich von
> aussen auf die Firwall schaue oder auf der Firewall selbst sitzte, oder
> ob die Firewall ein Router ist.
> Aller Antworten hatten wohl den gleichen Kontext angenommen wie der
> Fragende, nur du siehst es anders (was nicht unbedingt verkehrt ist,
> aber darum anzunehmen dass das alle so sehen ist FALSCH, nicht die
> anderen Antworten).
> Im Kontext von iptables bedeutet "aussen" immer vor dem Interface, also
> auf dem Kabel, und "innen" tcp/ip-Treiber. Zwischen "aussen" und "innen"
> arbeitet iptables. Bei der FORWARD Chain ist es geringfuehgig anders.
Sicher, es ist Ansichtssache. Als Firewall betrachte ich das System, iptables
ist keine Firewall. Und da ist "von eth1" das, was von diesem NIC kommt. Aber
er meinte es wirklich anders; ich hab auch ehrlich gesagt nicht viel drüber
nachgedacht, was er damit bezwecken wollte, denn es würde nicht viel Sinn
machen.
> 2. -P und -i sind inkompatible, weil -P die Chain (oder sagen wir
> genauer: die letzte Regel der Chain) bearbeitet.
> waehrend -i auf genau eine Regel innerhalb der Chain zutrifft.
> Statt "Hä?" zu schreiben also besser: man iptables ;-)
Das ist richtig, und ich hab einfach nicht genau gelesen. Ich sollte einfach
in schlaftrunkenem Zustand die Liste meiden (oder vielleicht gleich den
Computer? ;-)
> 3. die Regel mit --sport 22 wurde angegeben weil explizit nach ssh gefragt
> wurde, schau einfach ins Archiv
Find ich nicht, ist aber auch egal.
> 4. klar ist der Rechner zu wenn man -P INPUT DROP macht, aber nur wenn
> keine weiteren Regeln angegeben werden.
> Das ist ein wesentlicher Unterschied zu
> iptables -A INPUT -j DROP
> und wenn du meine Beispiele anschaust, dann siehst du, dass ich nicht
> -A, sondern immer -I verwendet habe!
> Wenn dir -A -I und -P unklar ist: man iptables
Richtig, aber er wollte ja _erst_ mal alles dicht machen, mit -P <chain> DROP
mach ich alles dicht, was bis hierher in dieser Chain noch keine Regel
gefunden hat. Das ist ein kleiner, aber feiner Unterschied.
> Damit sind die Regeln nicht unsinnig, sondern sie machen ungefaehr (oder
> vielleicht sogar genau) das was gefragt wurde.
Die Frage ist, ob das auch von Stefan alles verstanden wurde. Denn nichts ist
IMHO schlimmer, als mit Halbwissen einen Paketfilter zu installieren und dann
zu meinen, man habe seinen PC mit einer geilen Firewall sicher(er) gemacht.
Zunächst sollte man sich im Klaren darüber werden, wie die Kommunikation über
halbwegs funktioniert. Dann sollte man sich Gedanken darüber machen, was an
Kommuniaktion überhaupt laufen kann - und was ich davon auf welchem Interface
mit welchen Regeln erlauben will.
Und dann kann man entscheiden, wie welche Regeln gesetzt werden sollen.
Deine angegebenen Regeln sind unsinnig, denn sie machen höchstens ungefähr
das, was gefragt wurde. Ist aber keine Kritik an deinen Regeln, denn die
Fragestellung war schon nicht eindeutig.
Alles in allem ist das aber ein sehr interessantes Thema und ich kann Stefan
nur empfehlen, sich intensiv mit der Materie zu befassen. Das Script in der
Mail von Joerg Henner ist ganz interesant, aber wirklich ehrlich durchkämpfen
und verstehen.
--
Gruß
MaxX
| < Previous | Next > |