← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #38560

Re: Ipchains, det skulle virke men en test denne weekend har bevist det modsatte ?

  Thread PreviousDate PreviousThread Next 
Admin PwC Cambodia wrote:
> 
> Jeg er ved at gører klar til at få et fixed IP, I øjeblikket bliver vi
> natted
> Gemmen ISP'en router på 10.0.0.1,
> 
> Jeg har lavet denne ipchains som efter hvad jeg tror skulle lukke for
> næsten alt untagen DNS og WWW, SSH, fra ikke 192.168.120.0 addr, men det
> gør det ikke, jeg har denne weekend haf mulighed for at fra 10.0.5.122
> addrs, åbne både min ntop og webmin, som skulle værer lukket ?
> 
> Hvis der er nogle der uden det helt storer besvær, kan pege på hvor mit
> problem
> Er ville det gører stor lykke..

Du bør nok læse doc's til ipchains igen.

> :input ACCEPT
> :forward ACCEPT
> :output ACCEPT

Alene det at du starter med ACCEPT alting giver dig en mindre sikker
firewall, fordi det så er op til dig bagefter at få lukket af for _alt_
andet du ikke vil ha' igennem - er du sikker på du kender _alle_
seervices du ikke har brug for?

Senere har du nogle ACCEPT regler for diverse services; pga. af dine
ACCEPT det-hele regler i starten er disse dermed overflødige.
Det du har lavet er en tillad-det-hele-og-brems-derefter-visse firewall.

Prøv at kigge på Størners fine ipchains eksempel på sslug.
Læg mærke til at Henrik udtrykkeligt skriver at det er tænkt som et
eksempel, mao, du skal læse og forstå det, og måske omskrive visse ting.

F.eks. tillader Henrik al intern trafik, hvilket i de fleste tilfælde er
helt fint (We trust ourselves..), men måske har man et økonomisegment
som bør have sit eget mere begrænsende sæt regler.

Jeg er dog ikke enig med Henrik vedr. icmp; jeg bruger flg. istedet:
# Allow some incoming ICMP:
    ipchains -A input -p icmp -s 0/0 echo-reply -j ACCEPT
    ipchains -A input -p icmp -s 0/0 time-exceed -j ACCEPT
    ipchains -A input -p icmp -s 0/0 destination-unreachable -j ACCEPT
    ipchains -A input -p icmp -s 0/0 parameter-problem -j ACCEPT --log

En anden ting jeg gør anderledes er at definere samtlige tcp-typer
explicit med SYN check istedet for en generel tillad-al-tcp-uden-SYN,
altså tcp som ikke forsøger at lave en connection.
Det giver måske mere sikkerhed, men ozze mere hovedpine, og det kan
sikkert diskuteres om det er så meget bedre.
Et ! -y (SYN) flag giver nu engang ikke mulighed for at lave en
connection!
-- 
Regards,
          Mr Dev - Mogens Valentin
 http://www.danbbs.dk/~monz - monz@xxxxxxxxx
OpenSource Networking - Security - Programming
       Coming up soon: www.mrdev.com

Follow ups

References

  Thread PreviousDate PreviousThread Next