Page 1 of 1
IP Tables
Posted: 2003-02-06 13:18
by ganjasmokerjoe
Hallo Admins,
Ich habe bis hete mit IP Cains gearbeitet will jetzt aber auf IP Tables umsteigen.
Allerings hab ich davon null ahnung, wie geh ich am besten vor?
Ich arbeite mit Debian Woody mit selbst gebautem XFS Kernel.
Wie kann ich meine Servers Optimal mit IP Tables sichern?
Hab mir dievers Anleitungen angeguckt aber ich fand keine für debian.
Kann ev. ein Debian Admin seine IP Tables Konfiguration hier posten?
Das würd mir extrem helfen.
Herzlichsten Dank
Re: IP Tables
Posted: 2003-02-06 14:01
by dodolin
Also ich persönlich bin ja der Meinung, dass
lokale Paketfilter unsinnig/überflüssig/etc. sind. Paketfilter sind zur Trennung von
Netzen gedacht. Lokale Rechner sichert man, indem man sie korrekt konfiguriert, d.h. nur die Dienste startet, die man benötigt und keinen mehr. Diese Dienste werden dann korrekt konfiguriert. Fertig.
Wenn du trotzdem unbedingt eine "leet, cool Firewall" haben willst, würde ich zum Einstieg
http://www.netfilter.org/documentation/ empfehlen (Besonders das Packet Filtering Howto). Was dort nicht beschrieben ist, steht dann in der man-page von iptables. Hat mir eigentlich bisher immer ausgereicht...
Aber diesen Satz verstehe ich nicht:
Hab mir dievers Anleitungen angeguckt aber ich fand keine für debian.
Warum sollte iptables Debian-spezifisch sein? Oder meinst du jetzt, wie Debian das mit den Runlevels handhabt und du dein iptables-skript verlinken sollst oder was genau möchtest du jetzt wissen?
Re: IP Tables
Posted: 2003-02-06 14:16
by ganjasmokerjoe
ja ich meine das mit den init scripts.
Ich habe nur nötige Dienste gestartet, also keine 0815 Installation.
Allerings will ich die UDP Ports dich machen da diese meiner meinung nach nicht gebraucht wurden und das tat ich früher mit ip cains aber ich will jetzt vn ip cains zu ip tables wechseln weil mir ein befreundeter admin sagte das diese besser sei... obs so ist weiss ich allerdings auch nicht :-D
Re: IP Tables
Posted: 2003-02-06 14:25
by captaincrunch
Debians "Standard-Runlevel" ist 2, dahin sind sämtliche Dienste gelinkt. Wenn du also das Script baust, solltest du es dahin schneißen ...
Re: IP Tables
Posted: 2003-02-06 15:02
by dodolin
ja ich meine das mit den init scripts.
http://www.openoffice.de/linux/buch/init.html
Auch mal in /etc/init.d/ suchen, da sollte auch ein "skeleton" für eigene Skripte liegen...
Ich habe nur nötige Dienste gestartet, also keine 0815 Installation.
Sehr gut!
Allerings will ich die UDP Ports dich machen da diese meiner meinung nach nicht gebraucht wurden [....]
Aber das macht dein Betriebssystem doch schon automatisch?! Du schreibst ja oben selbst, du hast keine unnötigen Dienste gestartet...
[...] früher mit ip cains aber ich will jetzt vn ip cains zu ip tables wechseln weil mir ein befreundeter admin sagte das diese besser sei [...]
Nunja, sagen wir mal so: iptables bietet mehr Funktionen. Wenn man die aber nicht benötigt, dann ist fraglich, was daran jetzt wirklich "besser" sein soll. Ok, die Architektur, dass nicht mehr jedes Paket alle Chains durchläuft ist schon nicht schlecht, bringt aber auf einem Standalone-Rechner (also != Router) auch keinen Vorteil.
Re: IP Tables
Posted: 2003-02-06 15:10
by ganjasmokerjoe
danke für die tipps!
Auch mal in /etc/init.d/ suchen, da sollte auch ein "skeleton" für eigene Skripte liegen...
wie heisst das teil?
Allerings will ich die UDP Ports dich machen da diese meiner meinung nach nicht gebraucht wurden [....]
Aber das macht dein Betriebssystem doch schon automatisch?! Du schreibst ja oben selbst, du hast keine unnötigen Dienste gestartet...
Ja schon aber ich bekomme leider nicht alle UDP's weg, bzw. ich weiss nicht was die UDP Ports offen hällt.
Aber ich war schon froh als ich dendlich den sun portmapper losgeworden bin ;)
Re: IP Tables
Posted: 2003-02-06 15:14
by captaincrunch
Zitat:
Auch mal in /etc/init.d/ suchen, da sollte auch ein "skeleton" für eigene Skripte liegen...
wie heisst das teil?
Das war SuSE-spezifisch ...
Re: IP Tables
Posted: 2003-02-06 15:56
by dodolin
Auch mal in /etc/init.d/ suchen, da sollte auch ein "skeleton" für eigene Skripte liegen...
wie heisst das teil?
Das war SuSE-spezifisch ...
Nein. :P
Also auf meinem Woody gibt es in /etc/init.d/ eine README und eine Datei Namens skeleton...
Ja schon aber ich bekomme leider nicht alle UDP's weg, bzw. ich weiss nicht was die UDP Ports offen hällt.
Dazu nimmt man dann netstat oder lsof.
Linktipp:
http://www.iks-jena.de/mitarb/lutz/usen ... tml#Server
Re: IP Tables
Posted: 2003-02-06 15:59
by captaincrunch
Also auf meinem Woody gibt es in /etc/init.d/ eine README und eine Datei Namens skeleton...
Ups ... ich hätte wohl mal besser nachschauen sollen ...