iptables richtig konfiguriert ?

[-stevenking-]

Hallo zusammen

Ich hab nur mal ne Frage...
wie gut ist meine Iptables konfiguriert?
hat jemand Verbesserungsvorschläge?


MFg
Steve

Edit... hab das script rausgenommen wegen der sicherheit...

[Roger Wilco]

wie gut ist meine Iptables konfiguriert?

Für was? Desktop-Rechner? Workstation? Server? Falls Server: Was für ein Server bzw. welche Dienste?

hat jemand Verbesserungsvorschläge?

http://www.rootforum.org/forum/viewtopi ... 77&t=46097

[-stevenking-]

@ Roger Wilco
sorry hatte ich vergessen zu schreiben.
ist für einen WebServer mit Email-Verwaltung und IRC Chat-System.

[anyware]

Die meisten log-Regeln kannst du dir sparen. Du betreibts euch keine Filterung der ausgehenden Pakete, was ich bei Webservern nicht empfehlen würde. Darüber hinaus werden die letzten OUTPUT Regeln nie zum EInsatz kommen weil du vorher schon alles mit "$IPT -A OUTPUT -o $ETH_DEV -j ACCEPT" erlaubst.

[-stevenking-]

ähm also ist es am Besten ich filtere die input auch als output oder?

[gierig]

ähm also ist es am Besten ich filtere die input auch als output oder?

Bitte was ?
Klingt so als wen du z.B Port 80in und Port 80Out freischalten willst.
Viel Spaß beim Ast absägen.

Iptabel -F sollte auch für dich zu 99% reichen.
Bietet dir die gleiche Sicherheit wie dein zig Zeilen script


Begründung ? hier im Forum zu hauf zu finden.
In Kürze:

Ports auf den eh nichts läuft sind nicht angreifbar
Port auf den was leuft sind für alle und jeden zu erreichen. Ergo: Fehler in der Anwedung kann ausgenutzt werden und
die Firewall (richtiger Portfilter) nickt das einfach ab (voher soll der Filter das auch wissen)
ICMP ist NICHT böse.

[anyware]

ähm also ist es am Besten ich filtere die input auch als output oder?

Du musst dir überlegen welche Kommunikationswege nach draußen benötigt werden und welche eingehend für den Betrieb wichtig sind. Darauf basierend kannst du dann eine Konfiguration machen.