Morgen!!
@Meine Göttin:Ich hab mich scho gewundert, dasst net schreibst:Spät aber doch
Zum Thema:Klarerweise kann man das Script ausbauen:Wenn man erreichen will, das die Box auf nen Ping von aussen reagiert, fügt man am Beginn des Listings ein:
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j ACCEPT
Sollen die Replies limitiert werden:
iptables -A INPUT -i ppp0 -p icmp-type echo-request -m limit --limit 1/sec -j ACCEPT
Soll der Server öffentlich Dienste anbieten, müssen diese explicit freigeschalten werden:
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
Genauso kann man den SSH-Port schützen:
iptables -A INPUT -p tcp --dport 22 -m limit --limit 1/sec -m state --state NEW -j ACCEPT
Es bringt aber nur was, wenn man den (die)Dienst(e) anbietet!
Man könnte genauso einen Angriff mitprotokollieren:
iptables -I INPUT -p tcp --dport 23 -j LOG --log-prefix "Telnet-Zugriff:"
Mit "iptables" hat man 2 mögliche Varianten des Schutzes:
Vertrauen: Alles ist erlaubt, was nicht explicit verboten wird!
Misstrauen: Alles ist verboten, was nicht explicit erlaubt wird.
Da lag mein Ansatz: Die Default-Policies sind auf DROP!!!
Da ich sonst keine Dienste anbiete, brauch ich auch nix erlauben!
WAS IST DARAN FALSCH oder NICHT KORREKT? liebe Community!
mfg Excal