WinFuture-Forum.de: Iptables - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Linux
Seite 1 von 1

Iptables connection tracking


#1 Mitglied ist offline   Kingbonecrusher 

  • Gruppe: aktive Mitglieder
  • Beiträge: 541
  • Beigetreten: 16. März 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 20. Dezember 2006 - 07:42

Hi!

Ich wollte schon seit langem mal mein Script für iptables verbessern. Unter anderem dachte ich an die Integration der connection tracking funktion.

Weiss jemand welche Vorteile mir das bietet gegenüber fester in/out Ports?

Hier mal meine derzeitige Konfiguration:

#!/bin/bash

 
# Tabelle flushen
iptables -F
iptables -t mangle -F
iptables -X
iptables -t mangle -X
 

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# Loopback-Netzwerk-Kommunikation zulassen
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# SMB
iptables -A OUTPUT -p tcp --sport netbios-ssn -j ACCEPT
iptables -A OUTPUT -p tcp --sport microsoft-ds -j ACCEPT
iptables -A INPUT -p tcp --dport netbios-ssn -j ACCEPT
iptables -A INPUT -p tcp --dport microsoft-ds -j ACCEPT


# VMWARE
iptables -A OUTPUT -p tcp --sport 902 -j ACCEPT
iptables -A INPUT -p tcp --dport 902 -j ACCEPT

# MAIL
iptables -A OUTPUT -p tcp --dport smtp -j ACCEPT
iptables -A OUTPUT -p tcp --dport ssmtp -j ACCEPT
iptables -A INPUT -p tcp --sport smtp -j ACCEPT
iptables -A INPUT -p tcp --sport ssmtp -j ACCEPT
 
# DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

# HTTP & HTTPS
iptables -A OUTPUT -p tcp --dport http -j ACCEPT
iptables -A OUTPUT -p tcp --dport https -j ACCEPT
iptables -A INPUT -p tcp --sport http -j ACCEPT
iptables -A INPUT -p tcp --sport https -j ACCEPT

# SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT
 
# ICMP Echo-Request (ping) zulassen und beantworten
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

# NTPDATE
iptables -A OUTPUT -p udp --dport ntp -j ACCEPT
iptables -A INPUT -p udp  --sport ntp -j ACCEPT
iptables -A OUTPUT -p udp --sport ntp -j ACCEPT
iptables -A INPUT -p udp --dport ntp -j ACCEPT
[size=1]

iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT

Habe bereits probiert es so zu gestalten, jedoch würde doch logischweise bei dieser neuen Konfiguration jedes Programm eine neue Verbindung öffnen dürfen. Wäre doch die Top Konfiguration für Schadsoftware?! Ohne NEW würden dann ja nur noch die bereits bekannten Verbindungen beantwortet werden. Das funktioniert auch, jedoch wie gesagt, meine Frage, wie macht sich das Sicherheitstechnisch bemerkbar?
Eingefügtes Bild
0

Anzeige



Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0