Firewall - Teil 3
5.7.2 Chains löschen
Zu Beginn werden die vorhandenen Regellisten gelöscht, um evtl. vorhandene alte Regeln zu entfernen:
ipchains input -F ipchains output -F ipchains forward -F
Die Chains sind nun gelöscht. Es gelten keine Regeln mehr. Die Firewall ist sozusagen "nackt".
5.7.3 Default Policy definieren
ipchains -P input DENY ipchains -P output REJECT ipchains -P forward REJECT
Die Default Policy der einzelnen Chains wird eingerichtet. Da eine "deny everything by default"-Strategie verfolgt wird, werden alle Pakete abgelehnt.
Kleiner Unterschied zwischen der input- und output/forward-Chain: Eingehende Pakete, für die keine Regel existiert, werden kommentarlos verworfen (deny), während ausgehende, sowie zwischen Schnittstellen weitergeleitete Pakete mit einer Fehlermeldung zurückgewiesen werden (reject). Der Angreifer erhält keinerlei Informationen darüber, ob ein kontaktierter Dienst überhaupt existiert oder nicht.
Die Firewall befindet sich jetzt in einem absolut geblockten Zustand. Sämtlicher Netzwerkverkehr wird in dieser Einstellung verhindert. Deshalb muß als nächstes der lokale Netzwerkdienst wieder freigeschalten werden.
5.7.4 Loopback-Interface aktivieren
ipchains -A input -i $lo_int -j ACCEPT ipchains -A output -i $lo_int -j ACCEPT
Datenverkehr auf dem Loopback-Interface wird wieder möglich, da dieser für lokale Netzwerkdienste, wie die Erstellung von Logfiles oder X-Windows2 benötigt wird.
5.7.5 Schutz vor SYN Flooding
Folgende Zeilen aktivieren den im Kernel enthaltenen Schutz vor SYN Flooding DoS-Angriffen:3
echo 1 > /proc/sys/net/ipv4/tcp_syncookies for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done
5.7.6 IP Forwarding aktivieren
Das im Linux-Kernel integrierte IP Forwarding muß aktiviert werden, damit IP-Pakete von einem Netzwerkinterface an ein anderes weitergeleitet werden können. Sonst ist es später nicht möglich, Pakete aus dem lokalen Netz ins Internet weiterzureichen.
echo "1" > /proc/sys/net/ipv4/ip_forward