Moin Moin! Kann mir jemand eine gute Doku zu den ipchains Regeln nennen. Am besten in deutsch. Oder kann mir jemand erklären, welche Regeln ich im ip-up Script setzen muss, um alle Dienste zu verbieten. Lediglich - squid/fetchmail - ping - sendmail - named sollen vom Router aus ins I-Net dürfen. Dazu soll noch Masquerading laufen, was aber auch nur -ftp -ping -Homebanking -Quake erlaubt. Ich will so versuchen, die unerwünschten Einwalhlen zu unterbinden. Danke Markus Kuppe --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mit, 09 Feb 2000, Markus Kuppe wrote:
Kann mir jemand eine gute Doku zu den ipchains Regeln nennen. Am besten in deutsch.
in .de hab ich noch keine sonderlich gute gesehen. generell liegt eine gute (wenn auch englische) doku unter: /usr/doc/packages/ipchains/
Oder kann mir jemand erklären, welche Regeln ich im ip-up Script setzen muss, um alle Dienste zu verbieten. Lediglich - squid/fetchmail - ping - sendmail - named
zu erst DENY auf alles, und dann -j ACCEPT auf die services/ips die du erlauben willst.
Ich will so versuchen, die unerwünschten Einwalhlen zu unterbinden.
ich bezweifle stark das du das mit IP-chains hinbekommst ;) DNS-anfragen (sofern das dein problem ist) bleiben ja weiterhin... MfG, Joerg. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Henner, Reyer & Nickels, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Joerg Henner schrieb in 1,2K (39 Zeilen):
On Mit, 09 Feb 2000, Markus Kuppe wrote:
Kann mir jemand eine gute Doku zu den ipchains Regeln nennen. Am besten in deutsch.
in .de hab ich noch keine sonderlich gute gesehen. generell liegt eine gute (wenn auch englische) doku unter:
/usr/doc/packages/ipchains/
Es gibt auch noch http://www.obfuscation.org/ipf/ipf-howto.txt (auch wenn das nicht fuer ipchains sondern fuer IP Filter ist, es ist eine 30 DinA4 Seiten lange Anleitung (HOWTO), wie eine Firewall aufgebaut wird ...) http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html http://metalab.unc.edu/mdw/HOWTO/NET3-4-HOWTO-5.html Ansonsten man Suchmaschine. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, Feb 09, 2000 at 10:46:07AM +0100, Markus Kuppe wrote:
Moin Moin!
Kann mir jemand eine gute Doku zu den ipchains Regeln nennen. Am besten in deutsch. Such' mal im heise/ct. Da war vor kurzem(?) ne Anleitung, wie Deine Aufgabestellung gelöst wird. Ansonsten gibt's ja noch das /usr/doc/howto/de/.. ;)
Oder kann mir jemand erklären, welche Regeln ich im ip-up Script setzen muss, um alle Dienste zu verbieten. Lediglich Dazu ist es aber vonnöten, zu verstehen, wie die ipchains überhaupt funktionieren. Es bringt imho nichts, eine vorgekaute Version zu installieren, weil die ja nicht Deinem System angepasst ist. Und die heise Version ist ja auch nur ein - wenn auch guter - Ansatzpunkt. ;)
Danke hth
-- With best wishes, GR To Mucki and Nane: miss you even now. Live is too short to waste it with M$. mail -s "get gpgkey" g.ristic@berlin.de (GnuPG) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mit, 09 Feb 2000, Goran Ristic wrote:
Oder kann mir jemand erklären, welche Regeln ich im ip-up Script setzen muss, um alle Dienste zu verbieten. Lediglich Dazu ist es aber vonnöten, zu verstehen, wie die ipchains überhaupt funktionieren.
generell sollte man wenn man schon mit IP-UP was macht, nicht auf IP-basis was sperren, sondern auf interface-ebene (also mit parameter -i beim ipchains). generell sollte aber das verständnis für firewalling und generelles tcp/ip vorliegen. MfG, Joerg. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Henner, Reyer & Nickels, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, Feb 09, 2000 at 02:43:00PM +0100, Joerg Henner wrote:
On Mit, 09 Feb 2000, Goran Ristic wrote:
Oder kann mir jemand erklären, welche Regeln ich im ip-up Script setzen muss, um alle Dienste zu verbieten. Lediglich Dazu ist es aber vonnöten, zu verstehen, wie die ipchains überhaupt funktionieren.
generell sollte man wenn man schon mit IP-UP was macht, nicht auf IP-basis was sperren, sondern auf interface-ebene (also mit parameter -i beim ipchains).
Wüßte nicht, daß ich darauf ne Anspielung gemacht hätte?
generell sollte aber das verständnis für firewalling und generelles tcp/ip vorliegen. Und? Was habe ich gesagt?
-- With best wishes, GR To Mucki and Nane: miss you even now. Live is too short to waste it with M$. mail -s "get gpgkey" g.ristic@berlin.de (GnuPG) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Markus Kuppe wrote:
Moin Moin!
Kann mir jemand eine gute Doku zu den ipchains Regeln nennen. Am besten in deutsch.
"Linux im Einsatz" dpunkt verlag ix edition DM 39,-
Oder kann mir jemand erklären, welche Regeln ich im ip-up Script setzen muss, um alle Dienste zu verbieten. Lediglich - squid/fetchmail - ping - sendmail - named
IP_FORWARD=no (/etc/rc.config) ist die beste Lösung, dann kommt man auch ohne ipchains aus, weil ohnehin nichts mehr geroutet wird, man kann aber zusätzlich trotzdem noch Firewall-Regeln aufsetzen. - Surfen über squid - Mail mit sendmail/fetchmail - DNS mit bind8 oder bind4 - ping geht nicht, wozu auch
sollen vom Router aus ins I-Net dürfen. Dazu soll noch Masquerading laufen, was aber auch nur
braucht man dann auch nicht mehr
-ftp
ftp-Download geht auch über squid
-ping
iehe oben
-Homebanking
weis ich nicht, geht vielleicht auch über squid
-Quake
weis ich auch nicht, funktioniert dann wahrscheinlich nur vom Server in dem die ISDN-Karte steckt, also doch Routing mit Masquerading und Firewall.
erlaubt.
Ich will so versuchen, die unerwünschten Einwalhlen zu unterbinden.
das geht auch anders, dazu müßte man aber die Konfiguration systematisch durchgehen und auch die Konfiguration evtl. vor- handener Windoze-Clients, bei Win98-Clients ist das allerdings schwierig. Häufige Fehler: - ISDN-Device bzw. Point-to-point-Partner liegen im selben Netz wie das lokale, an die Netzwerkarte angeschlossene Netz. - bei Samba wurde der Eintrag ŽinterfacesŽ in der /etc/smb.conf nicht auf die Netzwerkkarte gesetzt. - Sendmail wurde falsch konfiguriert. - lokal verwendete Rechnernamen können nicht aufgelöst werden, wird dann über DNS im Internet versucht. - usw. tcpdump kann einem den/die Übeltäter zeigen.
Danke Markus Kuppe
Frank --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
frank.bodammer@fen.baynet.de -
g.ristic@berlin.de -
jhe@lihas.de -
markus.kuppe@on-line.de -
weissel@ph-cip.uni-koeln.de