Ich wollte schon seit langem mal mein Script für iptables verbessern. Unter anderem dachte ich an die Integration der connection tracking funktion.
Weiss jemand welche Vorteile mir das bietet gegenüber fester in/out Ports?
Hier mal meine derzeitige Konfiguration:
#!/bin/bash # Tabelle flushen iptables -F iptables -t mangle -F iptables -X iptables -t mangle -X # Default-Policies setzen iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Loopback-Netzwerk-Kommunikation zulassen iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i lo -j ACCEPT # SMB iptables -A OUTPUT -p tcp --sport netbios-ssn -j ACCEPT iptables -A OUTPUT -p tcp --sport microsoft-ds -j ACCEPT iptables -A INPUT -p tcp --dport netbios-ssn -j ACCEPT iptables -A INPUT -p tcp --dport microsoft-ds -j ACCEPT # VMWARE iptables -A OUTPUT -p tcp --sport 902 -j ACCEPT iptables -A INPUT -p tcp --dport 902 -j ACCEPT # MAIL iptables -A OUTPUT -p tcp --dport smtp -j ACCEPT iptables -A OUTPUT -p tcp --dport ssmtp -j ACCEPT iptables -A INPUT -p tcp --sport smtp -j ACCEPT iptables -A INPUT -p tcp --sport ssmtp -j ACCEPT # DNS iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT # HTTP & HTTPS iptables -A OUTPUT -p tcp --dport http -j ACCEPT iptables -A OUTPUT -p tcp --dport https -j ACCEPT iptables -A INPUT -p tcp --sport http -j ACCEPT iptables -A INPUT -p tcp --sport https -j ACCEPT # SSH iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT # ICMP Echo-Request (ping) zulassen und beantworten iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT # NTPDATE iptables -A OUTPUT -p udp --dport ntp -j ACCEPT iptables -A INPUT -p udp --sport ntp -j ACCEPT iptables -A OUTPUT -p udp --sport ntp -j ACCEPT iptables -A INPUT -p udp --dport ntp -j ACCEPT[size=1]
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT
Habe bereits probiert es so zu gestalten, jedoch würde doch logischweise bei dieser neuen Konfiguration jedes Programm eine neue Verbindung öffnen dürfen. Wäre doch die Top Konfiguration für Schadsoftware?! Ohne NEW würden dann ja nur noch die bereits bekannten Verbindungen beantwortet werden. Das funktioniert auch, jedoch wie gesagt, meine Frage, wie macht sich das Sicherheitstechnisch bemerkbar?