Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

iptables einrichten

polytaen / 7 Antworten / Flachansicht Nickles

Hallo@all,
ich habe mich mit iptables aueinandergesetzt, allerdings steige ich noch nicht ganz durch.
Also ich will erstmal alles denien:
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

Und dann eben nur die Dienste zulassen, die ich brauche.
Die "forward" brauch ich eigentlich eh nicht (glaube ich).
Nun, alles, was ich zulassen will ist:
mail, http (kein server, nur surfen), icq (kxicq) und DNS müssen funktioinieren. Ansonsten soll der Rechner "unsichbar" sein.

Hat jemand sinnvolle Regeln für sowas parat? Ein script kann ich daraus basteln, das sollte kein Problem sein. Eventuell dokumentierte Regeln wären auch nicht schlecht.
Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Hallo, Poly Erst einmal: Was willst du nehmen? Im Titel schreibst du ... Klaus_T
Hi Klaus, nein ich meinte schon iptables. Bin aber etwas verwirrt gewesen, ... polytaen
Erklaere erst mal dein Netzwerk. Hast du in der Firma ein Netzwerk, das ... Klaus_T
polytaen Klaus_T „Erklaere erst mal dein Netzwerk. Hast du in der Firma ein Netzwerk, das offen...“
Optionen

Ok, habe verstanden.

Russels Howto hat mich nicht wirklich weitergebracht, da er zwar die Grundlagen erklärt (die aich auch denke ich soweit verstanden habe) aber eben nicht so ins Detail geht.

Ich schick Dir bei Gelegenheit ne mail, über mein Netzwerk und wie das alles hier funktioniert.
Gibt es denn einen verbünftigen Grund ICMP nicht zu blocken.

bzgl /proc:
achso du meintest Regeln, die in
/proc/sys/net/ipv4/conf/all...
usw liegen?
Ja, auch nutzen. Scheint mir recht einfach zu sein, da das immer nur Textfiles sind., in denen halt 0 oder 1 steht.

# netstat -pantu
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 195/sshd
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 188/cupsd
tcp 0 0 meine.ip:32815 205.188.9.60:5190 VERBUNDEN 401/kxicq
tcp 0 meine.ip:32814 64.12.200.89:5190 TIME_WAIT -

Wobei kxicq ja nur aktiv ist, wenn ich es anhabe, ist ja klar.
Naja, ich schicke Dir ne mail, heute oder morgen, denn hier ist grade n bisschen was zu tun.

Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Gibt es denn einen verbünftigen Grund ICMP nicht zu blocken. Natuerlich: ... Klaus_T
Hi! evtl suchst du genau das ... wobei der zweite artikel IMHO geeigneter ... robsn76
Ja, vielen Dank, sieht nicht schlecht aus. Bis denne poly polytaen