IPCHAINS Paket Filter

Post Reply
Message
Author
stingway
Posts: 164
Joined: 06. Jul 2001 16:49

IPCHAINS Paket Filter

#1 Post by stingway »

So, da hier noch nicht viel drin steht, fange ich auch einfach mal an. Was haltet Ihr von folgenden IP-Chains Regeln ?


<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
#! /bin/sh
# Copyright (c) 2001 Stingway, Germany. All rights reserved.
#
#

# Fuer das "done"
. /etc/rc.config
return=$rc_done


# Alle Module
MSQ_MODULES="ip_masq_autofw ip_masq_ftp ip_masq_cuseeme ip_masq_irc ip_masq_mfw ip_masq_portfw ip_masq_quake ip_masq_raudio ip_masq_user ip_masq_vdolive"


case "$1" in

start)
echo
echo "Starte Firewall..."
echo
echo "Module werden geladen..."
for I in $MSQ_MODULES; do
/sbin/modprobe $I
done

echo "Filter werden geladen..."
/sbin/ipchains -F #Alle Loeschen
/sbin/ipchains -X #selbst definierte auch loeschen

/sbin/ipchains -P input DENY #als Standard erstmal sperren
/sbin/ipchains -P forward DENY #als Standard erstmal sperren
/sbin/ipchains -P output ACCEPT #rausgehende ega


/sbin/ipchains -A forward -s 0/0 -j MASQ #Masquerading aktiveiren

/sbin/ipchains -A input -i lo -j ACCEPT #Fuer das Loopback alles offen

/sbin/ipchains -A input -i eth0 -s 192.168.17.0/24 -j ACCEPT #Alles akzeptieren was auf dem lokalen LAN kommt (SSh, etc.)

/sbin/ipchains -A input -i ppp0 -p icmp -j ACCEPT #Alle ICPM Packete akzeptieren

/sbin/ipchains -A input -i ppp0 -p udp --dport 12345:12346 -j DENY #NETBUS Attacke
/sbin/ipchains -A input -i ppp0 -p udp --dport 31337 -j DENY #Back Orrifice
/sbin/ipchains -A input -i ppp0 -p udp -j ACCEPT #Alle UPD Packete akzeptieren

/sbin/ipchains -A input -i ppp0 -p tcp -y --dport 113 -j ACCEPT # Fuer diverse News und Mail Server <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
/sbin/ipchains -A input -i ppp0 -p tcp --dport 80 -j ACCEPT # Fuer HTTP von aussen ok
/sbin/ipchains -A input -i ppp0 -p tcp -y --dport 0:1023 -j DENY #0-1023 gesperrt
/sbin/ipchains -A input -i ppp0 -p tcp --dport 139 -j DENY #SMB + Netbios gesperrt
/sbin/ipchains -A input -i ppp0 -p tcp --dport 12345:12346 -j DENY #NETBUS Attacke
/sbin/ipchains -A input -i ppp0 -p tcp --dport 1433 -j DENY #Microsoft SQL Server
/sbin/ipchains -A input -i ppp0 -p tcp --dport 2049 -j DENY #NFS
/sbin/ipchains -A input -i ppp0 -p tcp --dport 5999:6003 -j DENY #X-Displays
/sbin/ipchains -A input -i ppp0 -p tcp --dport 7100 -j DENY #X-Font Server
/sbin/ipchains -A input -i ppp0 -p tcp --dport 31337 -j DENY #Back Oriffice
/sbin/ipchains -A input -i ppp0 -p tcp -j ACCEPT #Alles andere wird akzeptiert

echo "Anti-Spoofing Filter werden geladen..."
for rpf in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $rpf
done
echo "Broadcast Echo Filter werden geladen..."
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo "TCP SYN Cookie Filter werden geladen..."
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo
echo -n "Firewall gestartet."
echo -e "$return"
echo
;;


stop)

echo "Module werden entladen..."
for I in $MSQ_MODULES; do
/sbin/rmmod $I
done

echo "Broadcast Echo Filter werden entladen..."
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo "TCP SYN Cookie Filter weden entladen..."
echo 0 > /proc/sys/net/ipv4/tcp_syncookies

echo "Masquerading wird deaktiviert"
/sbin/ipchains -D forward -s 0/0 -j MASQ

echo -n "Firewall gestoppt."
echo -e "$return"
;;
*)
echo "usage $0 start | stop"
;;
esac
exit
</font><hr></pre></blockquote>


Achja, von aussen ist Zugriff auf den Apache möglich! (aber das seht ihr ja selber) <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> ...
System: SuSe 7.0 - Kernel 2.2.16 - Textkonsole

User avatar
hjb
Pro-Linux
Posts: 3264
Joined: 15. Aug 1999 16:59
Location: Bruchsal
Contact:

Re: IPCHAINS Paket Filter

#2 Post by hjb »

Hi,

wieso sperrst du bestimmte Input-Ports, wenn die Default Policy sowieso DENY ist? Oder hab ich zu schnell gelesen und etwas übersehen?

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

Boron

Re: IPCHAINS Paket Filter

#3 Post by Boron »

Hallo Stingway,

hast du die ipchains-Regeln aus dem Buch "Linux 5. Auflage" von Michael Kofler? Bei dem sehen die nämlich genau so aus!

Gruss Boron

stingway
Posts: 164
Joined: 06. Jul 2001 16:49

Re: IPCHAINS Paket Filter

#4 Post by stingway »

Ja richtig. Habe das Grundmuster daran orientiert.

Aber manche Sachen waren zu alt und andere passten nicht auf mein system. Zudem habe ich es um das ganze Masqurading erweitert. Das ist nun das resultat!
Da ich mir ncith 100%ig sicher war und kein wirklicher sicherheitsEXPERTE bin, dachte ich poste ich es einfach mal hierrein <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
System: SuSe 7.0 - Kernel 2.2.16 - Textkonsole

Lutz

Re: IPCHAINS Paket Filter

#5 Post by Lutz »

Stark Verbesserungswürdig (um nicht zu Sagen ab nach /dev/null)

Mein ursprünglicher Text Ging leider gerade hops, also auf die schnelle:

Lies bitte erstmal (Faq der dcsf):
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Ein Skript ohne Umfeld (z.B. MSSQL Server auf Linux)?
FORWARD erst DENY und dann alles zulassen?
INPUT siehe FORWARD
manche Ports zweimal geblockt.
...
etc.

Gruss
Lutz (nicht FAQ-Lutz)

Post Reply