Achim Hoffmann wrote:
iptables -P INPUT -j DROP iptables -P OUTPUT -j DROP iptables -P FORWARD -j DROP (da du ja 2 Netzwerkkarten hast)
Diese Regeln werden immer ausgeführt, wenn innerhalb der entsprechenden Regelkette nichts anderes für das jeweilige Datenpaket greift.
warum immer 'drop'? 'http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny'
oder: REJECT vs. DROP/DENY
genau.
wenn man Firewalls (auch ein Packetfilter ist eine Firewall im weiten Sinn, gell Matthias:), einrichtet muss man sehr pedantisch und paranoid sein, frei nach Murphy: das unwahrscheinlichste passiert zuerst.
eine firewall ist ein konzept. ein packetfilter ist immer nur ein teil dieses konzeptes.
Also wird alles weggeschmissen was unerwuenscht ist. CRacker muss dann erstmal Aufwand treiben um festzustellen, dass da was ist (z.B. ein Packetfilter). Wenn der ein REJECT kriegt, dann hat er den sicheren Beweis dass er weiter- machen kann (auf diesem Port), genau das was ein Scan rausfinden will !
Security by Obscurity ist zwar nicht zu empfehlen, aber in diesem Fall ist es ein zusaetzlicher Schutz, zumin. vor dusseligen Script-Kiddies.
auch bei einem drop/deny ist sofort erkennbar das dort etwas am anderen ende ist. schaue dir dazu mal 'http://logi.cc/linux/reject_or_deny.php3' an.
Und paranoid wie ich bin, versendet eine Firewall niemals ICMP, und erlaubt es auch nicht (wer wissen will warum schaut sich dazu an wie diverse Trojaner kommunizieren, z.B. BackOrifice). AFAIK ist ICMP heute im Internet obsolete, allenfalls in geschlossenen Netzen zur inter-router-kommunikation sinnvoll. Erst wenn Sicherheit kein Thema (mehr) ist denke ich darueber wieder nach.
was ist mit ping,traceroute,fragmentation-needed etc? es gab zu icmp mal einen interessanten thread in d.c.s.m. http://groups.google.de/groups?ie=ISO-8859-1&as_umsgid=aj3bsp%24180d8g%241%40ID-24860.news.dfncis.de&lr=&hl=de micha