Wieder eine Linux-Frage: Seit neuestem ist iptables beim Systemstart von Ubuntu so konfiguriert, daß nichts mehr durchgeht. Ich weiß nicht wie das passiert (ist). Jedenfalls lösche ich alle Regeln und Policies, um dann die Policies manuell auf ACCEPT zu setzen. Angeblich ist das Ubuntu-Standard, wobei mir das fragwürdig scheint, da doch die meisten Ports eigentlich geschlossen sein sollten!? An welcher Stelle werden diese Regeln gesetzt, und wie sollten sie eigentlich aussehen? Danke
Im wesentlichen gibt es zwei Leitlinien nach denen du eine Firewall konfigurieren kann - den Blacklist und den Whitelist ansatz. Ersteres meint: du setzt die Policies für die INPUT und OUTPUT chain auf ACCEPT und fügst dann regeln hinzu die bestimmten Verkehr unterbinden. Das erhöhte Risiko ist offensichtilich. Whitelist meint: Alle Policies auf DROP (Packete verwerfen) oder REJECT (Packete ablehnen) Manuell bestimmte Packete zulassen: Je nach Sicherheitsbedürfniss etwa "Alle ausgehenden Verbindungen" Oder "Nur ausgehende Verbindungen für TCP ports x,y,z" Wie du das ganze für iptables formulierst, entnimmst du der manpage (man iptables) Anregungen wie man einen solchen Regelsatz aufbaut finden sich über Google zuhauf. Was man letztlich an regeln erstellt ist eine Frage des a) Geschmacks b) Sicherheitsbedürfnisses c) Ertragens von Problemen mit Anwendungen, für die man die Regeln falsch gesetzt hat.
Heinz wrote: > Wieder eine Linux-Frage: > > Seit neuestem ist iptables beim Systemstart von Ubuntu so konfiguriert, > daß nichts mehr durchgeht. Sehr seltsam. Das passiert eigentlich nicht von alleine. Herausfinden wo das gemacht wird kannst du mit
1 | grep -r iptables /etc |
> Ich weiß nicht wie das passiert (ist). Jedenfalls lösche ich alle Regeln > und Policies, um dann die Policies manuell auf ACCEPT zu setzen. > Angeblich ist das Ubuntu-Standard, wobei mir das fragwürdig scheint, da > doch die meisten Ports eigentlich geschlossen sein sollten!? Wenn dein Rechner hinter einem Router ist ist das egal, dann kommt sowieso keine Verbindung von außen durch. Wenn er direkt am Netz hängt ist das eigentlich auch noch kein Problem, solange keine Dienste wie Webserver oder Samba laufen. Trotzdem ist es besser einen Filter einzurichten der nur das durchlässt was explizit erlaubt wurde. Am einfachsten geht das mit dem Easy Firewall Generator: http://easyfwgen.morizot.net/gen/index.php. Das davon erzeugte Skript kommt nach /etc/network/if-up.d/iptables.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.