Welchen Sinn hat iptables?

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

Welchen Sinn hat iptables?

Post by Anonymous » 2003-02-16 13:27

Moin,
sehr häufig ist hier von Problemen beim Einrichten von Packetfiltern, e. g. iptables, zu lesen. Wozu braucht ihr überhaupt ein solches Programm auf Eurem Rootserver?

Vielleicht gehe ich da etwas zu naiv ran, aber wenn ich keine Dienste auf Ports offen habe, wozu sollte ich die dann noch mit einem Paketfilter blockieren? Andererseits darf ich ja auch kein Packetfilter auf benutzte Ports legen, weil ich dann selber auch nicht mehr draufkomme...
(wenn es hier nicht ein "Rootforum" wäre, könnte man genauso über Desktop Firewalls sinnieren)

Gedanken hierzu sind gern willkommen.

scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Welchen Sinn hat iptables?

Post by scythe42 » 2003-02-16 13:32

Völlig richtig erkannt. Es macht keinen Sinn. Einzige Ausnahme: IP Accounting (also Traffic zählen).

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Welchen Sinn hat iptables?

Post by sascha » 2003-02-16 13:36


floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Welchen Sinn hat iptables?

Post by floschi » 2003-02-16 16:38

Hihi, meinen Lieblingsthread hierzu hat dir Sascha ja schon genannt ;)
ap wrote:(wenn es hier nicht ein "Rootforum" wäre, könnte man genauso über Desktop Firewalls sinnieren)
Genau ;)

Bis auf das, dass ZoneAlarm und Konsorten ab und zu schön bunt aufblinken, sehe ich keinen Sinn darin...

Anonymous

Re: Welchen Sinn hat iptables?

Post by Anonymous » 2003-02-16 16:42

Na, ja, wenn man ein bischen paranoid eingestellt ist macht es schon Sinn.
Z.B. man hat sich ein rootkit eingefangen. Wenn das sich dann den port noch aussuchen kann, den es benutzt.......
Bei nem Kunden passiert.

Karlo

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welchen Sinn hat iptables?

Post by dodolin » 2003-02-16 17:25

Wenn man sich ein rootkit eingefangen hat, dann hat man ganz andere Sorgen. Der Name impliziert für mich, dass der root-account kompromitiert ist. Was genau sollte dann noch das rootkit (den cracker) davon abhalten, mal schnell ein paar iptables -F (oder was war es nochmal gleich?) abzusetzen und die achso tolle "Firewall" ausser Gefecht zu setzen? Genau deshalb machen ja lokale Paketfilter recht wenig Sinn (siehe Personal Firewalls unter Windows, selbes Prinzip, nur noch schlimmer).

Noch ein bisschen was aus meiner Zitatensammlung zum Thema: :-D
Ich wuerde mal eher sagen, er hat sein Haus so konfiguriert, dass die
Glocke laeutet, sobald jemand das Haus anschaut.
- Urs [Ayahuasca] Traenkner über Personal Firewalls
Einträge über korrekt geblockte Versuche zu lesen, hat was von
Wixvorlage...
- Andreas Froede in de.comp.security.firewall über Paketfilter
Ich mag das kleine Männchen, welches immer blinkt, wenn ZA einen
Portscan blockt.
- Sabine 'Sani' Schulz in <alda0c.3vsdg6d.1@oe.news.sanflorimal.de>

Anonymous

Re: Welchen Sinn hat iptables?

Post by Anonymous » 2003-02-16 17:53

dodolin wrote:Wenn man sich ein rootkit eingefangen hat, dann hat man ganz andere Sorgen. Der Name impliziert für mich, dass der root-account kompromitiert ist. Was genau sollte dann noch das rootkit (den cracker) davon abhalten, mal schnell ein paar iptables -F (oder was war es nochmal gleich?) abzusetzen und die achso tolle "Firewall" ausser Gefecht zu setzen? Genau deshalb machen ja lokale Paketfilter recht wenig Sinn (siehe Personal Firewalls unter Windows, selbes Prinzip, nur noch schlimmer).
Da wiederspreche ich Dir in nichts, aber die meisten scriptkiddies sind dann schonmal aussen vor.

Karlo

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Welchen Sinn hat iptables?

Post by floschi » 2003-02-16 18:36

@dodolin:

Die Zitetsammlung ist Klasse, haste da noch mehr von :lol:

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welchen Sinn hat iptables?

Post by dodolin » 2003-02-17 14:48

OT, aber wenn so nett gefragt wird... :-D
http://ruf.homeip.net/~dominik/txt/sigs/all.php

heimdall
Posts: 13
Joined: 2002-08-13 14:59

Re: Welchen Sinn hat iptables?

Post by heimdall » 2003-02-18 14:45

Bin gerade über eine durchaus sinnvolle Anwendung eines Packetfilters (außer Traffic zählen) gestolpert:
Ich hab ein paar Java Anwendungen auf dem Server am laufen, die sich mit einem MySQL-Server auf dem gleichen Rechner verbinden wollen. Da diese JDBC Connectoren aber nicht auf Unix-Sockets zugreifen können (zumindest haben sie sich bei mir geweigert) muss man wohl oder übel über TCP/IP auf MySQL zugreifen. Und weil das von außerhalb keiner können soll, mach ich einfach den Port nach aussen zu und keiner hat ne Chance mit meinem MySQL-Server Unsinn zu treiben. :)

scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Welchen Sinn hat iptables?

Post by scythe42 » 2003-02-18 15:10

via TCP/IP und nicht von ausserhalb?
Wie wärs wenn du die localhost Adresse nimmst?

heimdall
Posts: 13
Joined: 2002-08-13 14:59

Re: Welchen Sinn hat iptables?

Post by heimdall » 2003-02-18 15:25

Ich muss aber den MySQL-Server mit offenem Port starten, sonst kann sich JDBC nicht mit MySQL verbinden.
Damit hab ich jetzt erstmal einenen offenen Port nach außen hängen, den eigentlich keiner braucht, der aber ein potentielles Sicherheitsrisiko darstellt. Und den mach ich mit iptables dicht.

scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Welchen Sinn hat iptables?

Post by scythe42 » 2003-02-18 16:44

Wieso kannst du MySQL nicht mit einem offene Port auf 127.0.0.1 starten? Dann geht da auch nichts nach aussen, weil diese Adresse nicht von aussen erreichbar ist.

Ich verstehe das Problem jetzt nicht wirklich, kläre mich doch mal bitte auf.

heimdall
Posts: 13
Joined: 2002-08-13 14:59

Re: Welchen Sinn hat iptables?

Post by heimdall » 2003-02-18 17:08

Hmm, ich muss zugeben, dass ich jetzt kein Experte für die Feinheiten des MySQL-Servers bin, aber ich kann ihn entweder mit skip-networking oder ohne starten. Ohne skip-networking lauscht der Server am spezifizierten Port.
Ob ich das dieses Lauschen nach aussen (außer für localhost) auch in der Config des Servers ausschalten kann, weiss ich jetzt nicht, aber mit iptables kann ich das garantiert.

Aber Du kannst mir gerne erklären, wie ich den MySQL-Server so starte, dass er von aussen nicht erreichbar ist. :)

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Welchen Sinn hat iptables?

Post by floschi » 2003-02-18 18:14

Code: Select all

[mysqld]
bind-address    = 127.0.0.1
eifügen in /etc/my.cnf bzw. /etc/mysql/my.cnf ;)

heimdall
Posts: 13
Joined: 2002-08-13 14:59

Re: Welchen Sinn hat iptables?

Post by heimdall » 2003-02-18 18:20

Danke, schon wieder was dazugelernt :)