www.mikrocontroller.net

Forum: PC Hard- und Software was verändert iptables bei neustart?


Autor: Heinz (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wieder eine Linux-Frage:

Seit neuestem ist iptables beim Systemstart von Ubuntu so konfiguriert, 
daß nichts mehr durchgeht.
Ich weiß nicht wie das passiert (ist). Jedenfalls lösche ich alle Regeln 
und Policies, um dann die Policies manuell auf ACCEPT zu setzen.
Angeblich ist das Ubuntu-Standard, wobei mir das fragwürdig scheint, da 
doch die meisten Ports eigentlich geschlossen sein sollten!?

An welcher Stelle werden diese Regeln gesetzt, und wie sollten sie 
eigentlich aussehen? Danke

Autor: nzg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Im wesentlichen gibt es zwei Leitlinien nach denen du eine Firewall 
konfigurieren kann - den Blacklist und den Whitelist ansatz.

Ersteres meint:
du setzt die Policies für die INPUT und OUTPUT chain auf ACCEPT und 
fügst dann regeln hinzu die bestimmten Verkehr unterbinden. Das erhöhte 
Risiko ist offensichtilich.

Whitelist meint:
Alle Policies auf DROP (Packete verwerfen) oder REJECT (Packete 
ablehnen)
Manuell bestimmte Packete zulassen:
Je nach Sicherheitsbedürfniss etwa "Alle ausgehenden Verbindungen"
Oder "Nur ausgehende Verbindungen für TCP ports x,y,z"

Wie du das ganze für iptables formulierst, entnimmst du der manpage
(man iptables)
Anregungen wie man einen solchen Regelsatz aufbaut finden sich über 
Google zuhauf.

Was man letztlich an regeln erstellt ist eine Frage des
a) Geschmacks
b) Sicherheitsbedürfnisses
c) Ertragens von Problemen mit Anwendungen, für die man die Regeln 
falsch gesetzt hat.

Autor: Andreas Schwarz (andreas) (Admin) Benutzerseite Flattr this
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Heinz wrote:
> Wieder eine Linux-Frage:
>
> Seit neuestem ist iptables beim Systemstart von Ubuntu so konfiguriert,
> daß nichts mehr durchgeht.

Sehr seltsam. Das passiert eigentlich nicht von alleine. Herausfinden wo 
das gemacht wird kannst du mit
grep -r iptables /etc

> Ich weiß nicht wie das passiert (ist). Jedenfalls lösche ich alle Regeln
> und Policies, um dann die Policies manuell auf ACCEPT zu setzen.
> Angeblich ist das Ubuntu-Standard, wobei mir das fragwürdig scheint, da
> doch die meisten Ports eigentlich geschlossen sein sollten!?

Wenn dein Rechner hinter einem Router ist ist das egal, dann kommt 
sowieso keine Verbindung von außen durch. Wenn er direkt am Netz hängt 
ist das eigentlich auch noch kein Problem, solange keine Dienste wie 
Webserver oder Samba laufen. Trotzdem ist es besser einen Filter 
einzurichten der nur das durchlässt was explizit erlaubt wurde. Am 
einfachsten geht das mit dem Easy Firewall Generator: 
http://easyfwgen.morizot.net/gen/index.php. Das davon erzeugte Skript 
kommt nach /etc/network/if-up.d/iptables.

Autor: Heinz (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vielen Dank für die ausführlichen Antworten!

Autor: Heinz (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich hatte anscheinend ipmasq installiert.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.