Sloter & Valo zum Thema Firewall von Excalibur33

Sloter · 21.05.2002, 19:47

Hy Jungs

Ehre und Stärke

Flanders hat dich auf die Policy aufmerksam gemacht

Die Datenpakete durchlaufen die jeweiligen Filterregeln von oben nach unten.
Bast eine Regel auf die Filterkette wird die Kette verlassen (ausser wenn geloggt wird) wird aber keine Regel gefunden entscheidet die Default Policy

$IPTABLES -p INBUT Drop
$IPTABLES -p INBUT DROP
$IPTABLES -p OUTPUT DROP

Das nur unsere Regeln aktiv sind empfiehlt es sich noch mit
$IPTABLES -F das löschen aller Chains, beugt kleinen ungereimtheiten vor.

ICMP
Exi das sind kleine Datenpakete die uns auskunft über unser Netzwerk geben können.
zB. ping oder auch fregmation needed.
Unterbindest du solche Datenpakete kann die Datenübertragung in der Performanz unheimlich beeinflußt werden.
Ausserdem verlierst du noch die angenehmen Werkzeuge in der Fehlersuche...ping tracert usw..
Natürlich läßt sich das Verfeinern, das nur ausgehende Pings zB durchgelassen werden.
Na ja, dann währe halt noch source-Quench,time-exceeding und parameter-problem, das kommt dann nächste mal drann

Identd:
$IPTABLES -A INPUT -p TCP --dport auth --syn -j REJECT
Schnellerer Verbindungsaufbau zu FTP-Server, keine Gefahr für ein Timeout

<iptables -A block -j DROP
Du setzt eine Filterregel ohne voriger Regelkette

Es würden auch etwas mehr sicherheit dem Server auch nicht schaden.
TCPSYNLIMIT
TCPSYNLIMITBURST
LOGLIMIT
LOGLIMITBURST
PINGLIMIT
PINGLIMITBURST
Das ist das erste was ich ausprobieren würde

Du machst einfach die Kiste dicht, bringst ein cooles "FIREGATE AKTIV"
und eigentlich ist da nichts...Danke für gar nichts

Ein jeder Hobbycracker schießt mir den Server im nu ab und ich kann intern fast nichts nützen.
Und du posaunst groß raus ADSL inkl Firewall..beser währe inkl. Routingfunktion.
Ich versteh auch nicht warum du so sauer bist, ein jeder gibt dir Tips und Hinweise wie du dein Projekt verbessern kannst und du nimmst nichts an.
Blätter einmal weiter in deinem Buch und schau in ein weiteres...diese Welt ist sehr groß.

Sloter

Ps:
<Im übrigen hab ich meinem Rechner selbst einen Ping geschickt, <welchen er nicht beantwortet hat. Weiterer Kommentar überflüssig!
Da war kein normaler ping gemeint, da gibt es auch böse pings

21.05.2002, 19:47	#11
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Hy Jungs Ehre und Stärke Flanders hat dich auf die Policy aufmerksam gemacht Die Datenpakete durchlaufen die jeweiligen Filterregeln von oben nach unten. Bast eine Regel auf die Filterkette wird die Kette verlassen (ausser wenn geloggt wird) wird aber keine Regel gefunden entscheidet die Default Policy $IPTABLES -p INBUT Drop $IPTABLES -p INBUT DROP $IPTABLES -p OUTPUT DROP Das nur unsere Regeln aktiv sind empfiehlt es sich noch mit $IPTABLES -F das löschen aller Chains, beugt kleinen ungereimtheiten vor. ICMP Exi das sind kleine Datenpakete die uns auskunft über unser Netzwerk geben können. zB. ping oder auch fregmation needed. Unterbindest du solche Datenpakete kann die Datenübertragung in der Performanz unheimlich beeinflußt werden. Ausserdem verlierst du noch die angenehmen Werkzeuge in der Fehlersuche...ping tracert usw.. Natürlich läßt sich das Verfeinern, das nur ausgehende Pings zB durchgelassen werden. Na ja, dann währe halt noch source-Quench,time-exceeding und parameter-problem, das kommt dann nächste mal drann Identd: $IPTABLES -A INPUT -p TCP --dport auth --syn -j REJECT Schnellerer Verbindungsaufbau zu FTP-Server, keine Gefahr für ein Timeout <iptables -A block -j DROP Du setzt eine Filterregel ohne voriger Regelkette Es würden auch etwas mehr sicherheit dem Server auch nicht schaden. TCPSYNLIMIT TCPSYNLIMITBURST LOGLIMIT LOGLIMITBURST PINGLIMIT PINGLIMITBURST Das ist das erste was ich ausprobieren würde Du machst einfach die Kiste dicht, bringst ein cooles "FIREGATE AKTIV" und eigentlich ist da nichts...Danke für gar nichts Ein jeder Hobbycracker schießt mir den Server im nu ab und ich kann intern fast nichts nützen. Und du posaunst groß raus ADSL inkl Firewall..beser währe inkl. Routingfunktion. Ich versteh auch nicht warum du so sauer bist, ein jeder gibt dir Tips und Hinweise wie du dein Projekt verbessern kannst und du nimmst nichts an. Blätter einmal weiter in deinem Buch und schau in ein weiteres...diese Welt ist sehr groß. Sloter Ps: <Im übrigen hab ich meinem Rechner selbst einen Ping geschickt, <welchen er nicht beantwortet hat. Weiterer Kommentar überflüssig! Da war kein normaler ping gemeint, da gibt es auch böse pings

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)