sslug-teknik team mailing list archive

Thread
Date

Re: Ipchains

To: sslug-teknik@xxxxxxxx
From: storner@xxxxxxxx
Date: 31 May 1999 00:16:31 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc. - http://www.image.dk/~storner/
Reply-to: sslug-teknik@xxxxxxxx

In <375032C5.462CF06B@xxxxxxxxxxxxxx> Christian Hansen <webmaster@xxxxxxxxxxxxxx> writes:

>/sbin/ipchains -P input DENY

># Accepter alt paa alle ethernet kort.
>/sbin/ipchains -A input -i eth+ -j ACCEPT
>/sbin/ipchains -A input -i lo -j ACCEPT
># Næste linie er måske ikke helt 100% sikker, men ellers kunne jeg
># ikke lige få det til at virke..
>/sbin/ipchains -A input -i ppp+ -j ACCEPT

Dette er grundlæggende forkert. Den sidste linie gør, at ALT
hvad der ankommer på din dialup-forbindelse (alle ppp* 
devices) bliver accepteret. D.v.s. du har INGEN filtrering 
af pakker udefra. Du kunne lige så godt sætte default 
input-policy til ACCEPT, og så spare besværet med at have
firewall regler overhovedet.

># Sikkerhed!
>/sbin/ipchains -A input -i ppp+ -s 10.10.10.0/24 -l -j DENY

Denne regel bliver aldrig evalueret, da du i den forrige
regel accepterer alt hvad der ankommer på ppp-devices.

Et mere restriktivt eksempel på brug af ipchains kan ses på
http://www.sslug.dk/sikkerhed/

Jeg vil i øvrigt anbefale at kigge på IPChains HOWTO'en, hvis
man skal i gang med at konfigurere firewall-regler. Og læs også 
man-siden for ipchains.

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."

References

Ipchains
From: Jesper Berth, 1999-05-26
Re: Ipchains
From: Sune Kirkeby, 1999-05-26
Re: Ipchains
From: Christian Hansen, 1999-05-29