Welchen Sinn hat iptables?

[Anonymous]

Moin,
sehr häufig ist hier von Problemen beim Einrichten von Packetfiltern, e. g. iptables, zu lesen. Wozu braucht ihr überhaupt ein solches Programm auf Eurem Rootserver?

Vielleicht gehe ich da etwas zu naiv ran, aber wenn ich keine Dienste auf Ports offen habe, wozu sollte ich die dann noch mit einem Paketfilter blockieren? Andererseits darf ich ja auch kein Packetfilter auf benutzte Ports legen, weil ich dann selber auch nicht mehr draufkomme...
(wenn es hier nicht ein "Rootforum" wäre, könnte man genauso über Desktop Firewalls sinnieren)

Gedanken hierzu sind gern willkommen.

[scythe42]

Völlig richtig erkannt. Es macht keinen Sinn. Einzige Ausnahme: IP Accounting (also Traffic zählen).

[sascha]

http://www.rootforum.org/forum/viewtopic.php?t=4587

[floschi]

Hihi, meinen Lieblingsthread hierzu hat dir Sascha ja schon genannt ;)

(wenn es hier nicht ein "Rootforum" wäre, könnte man genauso über Desktop Firewalls sinnieren)

Genau ;)

Bis auf das, dass ZoneAlarm und Konsorten ab und zu schön bunt aufblinken, sehe ich keinen Sinn darin...

[Anonymous]

Na, ja, wenn man ein bischen paranoid eingestellt ist macht es schon Sinn.
Z.B. man hat sich ein rootkit eingefangen. Wenn das sich dann den port noch aussuchen kann, den es benutzt.......
Bei nem Kunden passiert.

Karlo

[dodolin]

Wenn man sich ein rootkit eingefangen hat, dann hat man ganz andere Sorgen. Der Name impliziert für mich, dass der root-account kompromitiert ist. Was genau sollte dann noch das rootkit (den cracker) davon abhalten, mal schnell ein paar iptables -F (oder was war es nochmal gleich?) abzusetzen und die achso tolle "Firewall" ausser Gefecht zu setzen? Genau deshalb machen ja lokale Paketfilter recht wenig Sinn (siehe Personal Firewalls unter Windows, selbes Prinzip, nur noch schlimmer).

Noch ein bisschen was aus meiner Zitatensammlung zum Thema: :-D

Ich wuerde mal eher sagen, er hat sein Haus so konfiguriert, dass die
Glocke laeutet, sobald jemand das Haus anschaut.
- Urs [Ayahuasca] Traenkner über Personal Firewalls

Einträge über korrekt geblockte Versuche zu lesen, hat was von
Wixvorlage...
- Andreas Froede in de.comp.security.firewall über Paketfilter

Ich mag das kleine Männchen, welches immer blinkt, wenn ZA einen
Portscan blockt.
- Sabine 'Sani' Schulz in <alda0c.3vsdg6d.1@oe.news.sanflorimal.de>

[Anonymous]

Wenn man sich ein rootkit eingefangen hat, dann hat man ganz andere Sorgen. Der Name impliziert für mich, dass der root-account kompromitiert ist. Was genau sollte dann noch das rootkit (den cracker) davon abhalten, mal schnell ein paar iptables -F (oder was war es nochmal gleich?) abzusetzen und die achso tolle "Firewall" ausser Gefecht zu setzen? Genau deshalb machen ja lokale Paketfilter recht wenig Sinn (siehe Personal Firewalls unter Windows, selbes Prinzip, nur noch schlimmer).

Da wiederspreche ich Dir in nichts, aber die meisten scriptkiddies sind dann schonmal aussen vor.

Karlo

[floschi]

@dodolin:

Die Zitetsammlung ist Klasse, haste da noch mehr von :lol:

[dodolin]

OT, aber wenn so nett gefragt wird... :-D
http://ruf.homeip.net/~dominik/txt/sigs/all.php

[heimdall]

Bin gerade über eine durchaus sinnvolle Anwendung eines Packetfilters (außer Traffic zählen) gestolpert:
Ich hab ein paar Java Anwendungen auf dem Server am laufen, die sich mit einem MySQL-Server auf dem gleichen Rechner verbinden wollen. Da diese JDBC Connectoren aber nicht auf Unix-Sockets zugreifen können (zumindest haben sie sich bei mir geweigert) muss man wohl oder übel über TCP/IP auf MySQL zugreifen. Und weil das von außerhalb keiner können soll, mach ich einfach den Port nach aussen zu und keiner hat ne Chance mit meinem MySQL-Server Unsinn zu treiben. :)

[scythe42]

via TCP/IP und nicht von ausserhalb?
Wie wärs wenn du die localhost Adresse nimmst?

[heimdall]

Ich muss aber den MySQL-Server mit offenem Port starten, sonst kann sich JDBC nicht mit MySQL verbinden.
Damit hab ich jetzt erstmal einenen offenen Port nach außen hängen, den eigentlich keiner braucht, der aber ein potentielles Sicherheitsrisiko darstellt. Und den mach ich mit iptables dicht.

[scythe42]

Wieso kannst du MySQL nicht mit einem offene Port auf 127.0.0.1 starten? Dann geht da auch nichts nach aussen, weil diese Adresse nicht von aussen erreichbar ist.

Ich verstehe das Problem jetzt nicht wirklich, kläre mich doch mal bitte auf.

[heimdall]

Hmm, ich muss zugeben, dass ich jetzt kein Experte für die Feinheiten des MySQL-Servers bin, aber ich kann ihn entweder mit skip-networking oder ohne starten. Ohne skip-networking lauscht der Server am spezifizierten Port.
Ob ich das dieses Lauschen nach aussen (außer für localhost) auch in der Config des Servers ausschalten kann, weiss ich jetzt nicht, aber mit iptables kann ich das garantiert.

Aber Du kannst mir gerne erklären, wie ich den MySQL-Server so starte, dass er von aussen nicht erreichbar ist. :)

[floschi]

Code: Select all

[mysqld]
bind-address    = 127.0.0.1

eifügen in /etc/my.cnf bzw. /etc/mysql/my.cnf ;)

[heimdall]

Danke, schon wieder was dazugelernt :)