iptables richtig konfiguriert ?

Rund um die Sicherheit des Systems und die Applikationen
-stevenking-
Posts: 16
Joined: 2003-11-27 20:23
Location: Siegen

iptables richtig konfiguriert ?

Post by -stevenking- » 2008-11-02 15:54

Hallo zusammen

Ich hab nur mal ne Frage...
wie gut ist meine Iptables konfiguriert?
hat jemand Verbesserungsvorschläge?


MFg
Steve

Edit... hab das script rausgenommen wegen der sicherheit...
Last edited by -stevenking- on 2008-11-05 19:48, edited 1 time in total.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: iptables richtig konfiguriert ?

Post by Roger Wilco » 2008-11-02 16:17

-Stevenking- wrote:wie gut ist meine Iptables konfiguriert?

Für was? Desktop-Rechner? Workstation? Server? Falls Server: Was für ein Server bzw. welche Dienste?
-Stevenking- wrote:hat jemand Verbesserungsvorschläge?

http://www.rootforum.org/forum/view ... 77&t=46097

-stevenking-
Posts: 16
Joined: 2003-11-27 20:23
Location: Siegen

Re: iptables richtig konfiguriert ?

Post by -stevenking- » 2008-11-02 16:24

@ Roger Wilco
sorry hatte ich vergessen zu schreiben.
ist für einen WebServer mit Email-Verwaltung und IRC Chat-System.

anyware
Posts: 100
Joined: 2002-11-03 00:21
Location: Berlin

Re: iptables richtig konfiguriert ?

Post by anyware » 2008-11-02 17:29

Die meisten log-Regeln kannst du dir sparen. Du betreibts euch keine Filterung der ausgehenden Pakete, was ich bei Webservern nicht empfehlen würde. Darüber hinaus werden die letzten OUTPUT Regeln nie zum EInsatz kommen weil du vorher schon alles mit "$IPT -A OUTPUT -o $ETH_DEV -j ACCEPT" erlaubst.

-stevenking-
Posts: 16
Joined: 2003-11-27 20:23
Location: Siegen

Re: iptables richtig konfiguriert ?

Post by -stevenking- » 2008-11-03 18:01

ähm also ist es am Besten ich filtere die input auch als output oder?

gierig
Posts: 292
Joined: 2002-10-15 16:59
Location: WHV

Re: iptables richtig konfiguriert ?

Post by gierig » 2008-11-03 20:14

-Stevenking- wrote:ähm also ist es am Besten ich filtere die input auch als output oder?


Bitte was ?
Klingt so als wen du z.B Port 80in und Port 80Out freischalten willst.
Viel Spaß beim Ast absägen.

Iptabel -F sollte auch für dich zu 99% reichen.
Bietet dir die gleiche Sicherheit wie dein zig Zeilen script


Begründung ? hier im Forum zu hauf zu finden.
In Kürze:

Ports auf den eh nichts läuft sind nicht angreifbar
Port auf den was leuft sind für alle und jeden zu erreichen. Ergo: Fehler in der Anwedung kann ausgenutzt werden und
die Firewall (richtiger Portfilter) nickt das einfach ab (voher soll der Filter das auch wissen)
ICMP ist NICHT böse.

anyware
Posts: 100
Joined: 2002-11-03 00:21
Location: Berlin

Re: iptables richtig konfiguriert ?

Post by anyware » 2008-11-04 10:26

-Stevenking- wrote:ähm also ist es am Besten ich filtere die input auch als output oder?


Du musst dir überlegen welche Kommunikationswege nach draußen benötigt werden und welche eingehend für den Betrieb wichtig sind. Darauf basierend kannst du dann eine Konfiguration machen.