Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
IPCHAINS Paket Filter

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
stingway



Anmeldungsdatum: 06.07.2001
Beiträge: 164

BeitragVerfasst am: 03. Sep 2001 14:56   Titel: IPCHAINS Paket Filter

So, da hier noch nicht viel drin steht, fange ich auch einfach mal an. Was haltet Ihr von folgenden IP-Chains Regeln ?


code:

#! /bin/sh
# Copyright (c) 2001 Stingway, Germany. All rights reserved.
#
#

# Fuer das "done"
. /etc/rc.config
return=$rc_done


# Alle Module
MSQ_MODULES="ip_masq_autofw ip_masq_ftp ip_masq_cuseeme ip_masq_irc ip_masq_mfw ip_masq_portfw ip_masq_quake ip_masq_raudio ip_masq_user ip_masq_vdolive"


case "$1" in

start)
echo
echo "Starte Firewall..."
echo
echo "Module werden geladen..."
for I in $MSQ_MODULES; do
/sbin/modprobe $I
done

echo "Filter werden geladen..."
/sbin/ipchains -F #Alle Loeschen
/sbin/ipchains -X #selbst definierte auch loeschen

/sbin/ipchains -P input DENY #als Standard erstmal sperren
/sbin/ipchains -P forward DENY #als Standard erstmal sperren
/sbin/ipchains -P output ACCEPT #rausgehende ega


/sbin/ipchains -A forward -s 0/0 -j MASQ #Masquerading aktiveiren

/sbin/ipchains -A input -i lo -j ACCEPT #Fuer das Loopback alles offen

/sbin/ipchains -A input -i eth0 -s 192.168.17.0/24 -j ACCEPT #Alles akzeptieren was auf dem lokalen LAN kommt (SSh, etc.)

/sbin/ipchains -A input -i ppp0 -p icmp -j ACCEPT #Alle ICPM Packete akzeptieren

/sbin/ipchains -A input -i ppp0 -p udp --dport 12345:12346 -j DENY #NETBUS Attacke
/sbin/ipchains -A input -i ppp0 -p udp --dport 31337 -j DENY #Back Orrifice
/sbin/ipchains -A input -i ppp0 -p udp -j ACCEPT #Alle UPD Packete akzeptieren

/sbin/ipchains -A input -i ppp0 -p tcp -y --dport 113 -j ACCEPT # Fuer diverse News und Mail Server
/sbin/ipchains -A input -i ppp0 -p tcp --dport 80 -j ACCEPT # Fuer HTTP von aussen ok
/sbin/ipchains -A input -i ppp0 -p tcp -y --dport 0:1023 -j DENY #0-1023 gesperrt
/sbin/ipchains -A input -i ppp0 -p tcp --dport 139 -j DENY #SMB + Netbios gesperrt
/sbin/ipchains -A input -i ppp0 -p tcp --dport 12345:12346 -j DENY #NETBUS Attacke
/sbin/ipchains -A input -i ppp0 -p tcp --dport 1433 -j DENY #Microsoft SQL Server
/sbin/ipchains -A input -i ppp0 -p tcp --dport 2049 -j DENY #NFS
/sbin/ipchains -A input -i ppp0 -p tcp --dport 5999:6003 -j DENY #X-Displays
/sbin/ipchains -A input -i ppp0 -p tcp --dport 7100 -j DENY #X-Font Server
/sbin/ipchains -A input -i ppp0 -p tcp --dport 31337 -j DENY #Back Oriffice
/sbin/ipchains -A input -i ppp0 -p tcp -j ACCEPT #Alles andere wird akzeptiert

echo "Anti-Spoofing Filter werden geladen..."
for rpf in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $rpf
done
echo "Broadcast Echo Filter werden geladen..."
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo "TCP SYN Cookie Filter werden geladen..."
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo
echo -n "Firewall gestartet."
echo -e "$return"
echo
;;


stop)

echo "Module werden entladen..."
for I in $MSQ_MODULES; do
/sbin/rmmod $I
done

echo "Broadcast Echo Filter werden entladen..."
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo "TCP SYN Cookie Filter weden entladen..."
echo 0 > /proc/sys/net/ipv4/tcp_syncookies

echo "Masquerading wird deaktiviert"
/sbin/ipchains -D forward -s 0/0 -j MASQ

echo -n "Firewall gestoppt."
echo -e "$return"
;;
*)
echo "usage $0 start | stop"
;;
esac
exit




Achja, von aussen ist Zugriff auf den Apache möglich! (aber das seht ihr ja selber) ...
_________________
System: SuSe 7.0 - Kernel 2.2.16 - Textkonsole
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

hjb
Pro-Linux


Anmeldungsdatum: 15.08.1999
Beiträge: 3236
Wohnort: Bruchsal

BeitragVerfasst am: 04. Sep 2001 8:12   Titel: Re: IPCHAINS Paket Filter

Hi,

wieso sperrst du bestimmte Input-Ports, wenn die Default Policy sowieso DENY ist? Oder hab ich zu schnell gelesen und etwas übersehen?

Gruß,
hjb
_________________
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen MSN Messenger

Boron
Gast





BeitragVerfasst am: 08. Sep 2001 13:48   Titel: Re: IPCHAINS Paket Filter

Hallo Stingway,

hast du die ipchains-Regeln aus dem Buch "Linux 5. Auflage" von Michael Kofler? Bei dem sehen die nämlich genau so aus!

Gruss Boron
 

stingway



Anmeldungsdatum: 06.07.2001
Beiträge: 164

BeitragVerfasst am: 08. Sep 2001 16:47   Titel: Re: IPCHAINS Paket Filter

Ja richtig. Habe das Grundmuster daran orientiert.

Aber manche Sachen waren zu alt und andere passten nicht auf mein system. Zudem habe ich es um das ganze Masqurading erweitert. Das ist nun das resultat!
Da ich mir ncith 100%ig sicher war und kein wirklicher sicherheitsEXPERTE bin, dachte ich poste ich es einfach mal hierrein
_________________
System: SuSe 7.0 - Kernel 2.2.16 - Textkonsole
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Lutz
Gast





BeitragVerfasst am: 10. Sep 2001 4:52   Titel: Re: IPCHAINS Paket Filter

Stark Verbesserungswürdig (um nicht zu Sagen ab nach /dev/null)

Mein ursprünglicher Text Ging leider gerade hops, also auf die schnelle:

Lies bitte erstmal (Faq der dcsf):
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Ein Skript ohne Umfeld (z.B. MSSQL Server auf Linux)?
FORWARD erst DENY und dann alles zulassen?
INPUT siehe FORWARD
manche Ports zweimal geblockt.
...
etc.

Gruss
Lutz (nicht FAQ-Lutz)
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy