ubuntuusers.de

Forum

Iptables-regel sinnvoll zur Erhöhung der Sicherheit?

Alle Foren als gelesen markieren
ubuntuusers.deForumSicherheitIptables-regel sinnvoll zur Erhöhung der Sicherheit?

Iptables-regel sinnvoll zur Erhöhung der Sicherheit?

Status: Ungelöst | Ubuntu-Version: Xubuntu 12.04 (Precise Pangolin)
Antworten |

Jack Oneil

Anmeldungsdatum:
Mai 30, 2010

Beiträge: 164
Zitieren
Beitrag 1. Januar 2013 19:34

In einem anderen Thread wurde mir im Bezug auf einige Sicherheitbedenken vollgende Regel vorgeschlagen:

1
sudo /sbin/iptables -A INPUT -i <input-Interface> -m state --state NEW -j REJECT

Im Klartext heist dass doch, das alle eingehenden Pakete über zb. etho, etho1 etc. abgewiesen werden? Wieso funktioniert dann Kommnikation übers Netz und verschiedene Downloads noch? Dabei gelangenden durch die Schnittstellen auch eingehende Pakete erst in den RAM und dann auf die Platte? Ist es sinnvoll diese Regel in rc.local für die verschiedenen Interfaces zu schreiben?

Lg Jack

redknight Team-Icon

Moderator & Supporter
Avatar von redknight

Anmeldungsdatum:
Okt. 30, 2008

Beiträge: 16518

Wohnort: Lorchhausen im schönen Rheingau
Zitieren
Beitrag 1. Januar 2013 20:32

Jack Oneil schrieb:

Ist es sinnvoll diese Regel in rc.local für die verschiedenen Interfaces zu schreiben?

Vorab: Es ist _NIE_ sinnvoll, Firewallregeln zu setzen, die man nicht versteht.

In einem anderen Thread wurde mir im Bezug auf einige Sicherheitbedenken vollgende Regel vorgeschlagen:

Warum sollte man das tun wollen?

Im Klartext heist dass doch, das alle eingehenden Pakete über zb. etho, etho1 etc. abgewiesen werden? Wieso funktioniert dann Kommnikation übers Netz und verschiedene Downloads noch?

Weil Du nicht alle ablehnst, sondern nur Verbindungen mit dem Status NEW.

duesentriebchen

Anmeldungsdatum:
Feb. 10, 2012

Beiträge: 351

Wohnort: Im Inntal
Zitieren
Beitrag 3. Januar 2013 10:45

Hallo Jack Oneil

Was bzw welche Dienste möchtest du denn schützen? iptables-regeln sind sehr mächtig und daher auch sehr vielschichtig. Mit einem einzigen ruleset wirst du nicht sehr viel erreichen...

Lies dir das mal http://wiki.ubuntuusers.de/iptables2?redirect=no im Wiki durch und bemüh diverse Suchmaschinen im I-net.

Gute Neues, Düse.

lubux

Anmeldungsdatum:
Nov. 21, 2012

Beiträge: 1460
Zitieren
Beitrag 3. Januar 2013 10:56

Jack Oneil schrieb:

Wieso funktioniert dann Kommnikation übers Netz und verschiedene Downloads noch?

Wenn Du Downloads und Dienste an lauschenden Ports anbietest (... d. h. wenn dein Gerät von außen erreichbar sein soll), dann darfst Du diese Regel nicht setzen.

EDIT:

Im anderen Thread, hast Du mit der iptables-Regel auch folgenden Hinweis (... den Du anscheinend nicht verstanden hast) erhalten: 

Mit dieser iptables-Regel (an 1. Stelle) in der INPUT chain (... wenn dort die default policy auf ACCEPT steht), ist ein Zugriff von außen nicht möglich:
Antworten |
ubuntuusers.deForumSicherheitIptables-regel sinnvoll zur Erhöhung der Sicherheit?