Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

iptables einrichten

polytaen / 7 Antworten / Flachansicht Nickles

Hallo@all,
ich habe mich mit iptables aueinandergesetzt, allerdings steige ich noch nicht ganz durch.
Also ich will erstmal alles denien:
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

Und dann eben nur die Dienste zulassen, die ich brauche.
Die "forward" brauch ich eigentlich eh nicht (glaube ich).
Nun, alles, was ich zulassen will ist:
mail, http (kein server, nur surfen), icq (kxicq) und DNS müssen funktioinieren. Ansonsten soll der Rechner "unsichbar" sein.

Hat jemand sinnvolle Regeln für sowas parat? Ein script kann ich daraus basteln, das sollte kein Problem sein. Eventuell dokumentierte Regeln wären auch nicht schlecht.
Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Hallo, Poly Erst einmal: Was willst du nehmen? Im Titel schreibst du ... Klaus_T
polytaen Nachtrag zu: „iptables einrichten“
Optionen

Hi Klaus,
nein ich meinte schon iptables. Bin aber etwas verwirrt gewesen, von allen möglichen Anleitungen.
P-F-Howto: Ja, aber das fand ich extrem kurz und hat mich nicht wirklich weitergebracht. man iptables schon eher.
Eigener DNS nein. Aber die beiden in unserem Netzwerk. Ich möchte aber nicht einfach alles von diesen zulassen.
die ganzen iptables sachen sind fest drin und funktionieren auch, soweit ich das feststellen kann (testweise icmp geblockt und mal ein script aus dem Netz probiert).

/proc????
Das verstehe ich nicht :( muss ich überlesen haben. Worum gehts dabei?

Mit 'unsichtbar' meinte ich, dass so ziemlich alles geblockt wird (auch ICMP) ausser dem, was ich benötige (http smtp, icq etc). Ehm. Unser Netzwerk ist relativ offen, daher will ich zunächs auch icmp blocken; mir egal, was unsere Sysadmins dazu sagen (sie werden gar nichts sagen, es wird ihnen nicht auffallen?).

Ich will mir das selber bauen, suche aber noch tipps, wie man am besten rangeht, denn alles was ich beim googlen gefunden habe, waren fertige scripten, oder ziemlich marginale Beschreibungen, wie die, wie ich sie geliefert hab ;) [blocke alles, lasse dann alles zu, was Du brauchst]. Ich hatte mir auch fast gedacht, dass Du mir kein fertiges script schickst =). Wo wär denn da die Pädagogik *g*.

> Dokumentierte Regeln findest du im HOWTO
Ja, genau! In welchem denn?

Danke für die Tipps
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Erklaere erst mal dein Netzwerk. Hast du in der Firma ein Netzwerk, das ... Klaus_T
Ok, habe verstanden. Russels Howto hat mich nicht wirklich weitergebracht, ... polytaen
Gibt es denn einen verbünftigen Grund ICMP nicht zu blocken. Natuerlich: ... Klaus_T
Hi! evtl suchst du genau das ... wobei der zweite artikel IMHO geeigneter ... robsn76
Ja, vielen Dank, sieht nicht schlecht aus. Bis denne poly polytaen