Firewall so ok?

[Jochen2]

hi ich hab daheim ein kleines homenetz mit einem router(alle unwichtigen ports sind deaktiviert)
jetzt würde ich gern diesen gut absichern und wollte fragen ob
ich noch was in dem firewall skript vergessen habe oder ob des so ok ist?

echo erstelle packetfilter regeln
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ippp0
iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ippp0
echo syn-flood schutz
iptables -A FORWARD -p tcp --syn -m limit -j ACCEPT
echo verstohlene Portscanner
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST
echo securing ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit
echo antispoofing wird aktiviert
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ppp0
iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ppp0
echo forwarding wird aktiviert
echo "1" > /proc/sys/net/ipv4/ip_forward
insmod /lib/modules/2.4.0-4GB/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o
insmod /lib/modules/2.4.0-4GB/kernel/net/ipv4/netfilter/ip_nat_ftp.o


danke Jo

[Jochen2]

diese 2 zeilen die am ende in der 5 oder 6 letzten zeile sind
bitte ignorieren:
iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ppp0
iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ppp0

danke jo

[prg_tom]

fürn anfang reichts...
was ein bisserl zu bedenken ist:
deine main policy mußt du auf accept setzen, da du sonst nicht ins netz kannst.
Normaler weise geht mans umgekehrt ran.
Also man sperrt von haus aus alles.
Also iptables -P input DROP usw.
Dann macht man service nach service die ports auf.
Unterschieden zwischen was übern forward rein und raus, vom rechner raus und vom rechner rein kommt.
Ein guter Ansatz für ein gutes skript hier im portal:
http://www.pl-berichte.de/t_netzwerk/fi ... enbau.html