Kann mir wer die Basic Firewall-Regel erklären?

[ctwx]

Hallo,

das ist zwar eine etwas dämliche Frage, aber ich verstehe es wirklich nicht. Ich habe die iptables-Regel im Wiki gefunden: Basic_Firewall
Die scheint zu funktionieren, jedoch verstehe ich sie nicht so wirklich, daher würde ich mich freuen, wenn mir wer von euch die Regel ein wenig erklären kann. Ich habe bereits im Netz gesucht und auch in der man-Page geschaut.

Code: Alles auswählen

iptables -A INPUT -p tcp --syn -i eth0 -j DROP

Also...

• -A: hängt eine neue Regel an
• INPUT für eingehende Pakete
• -p tcp: Protokoll tcp
• --syn: SYN-Flag muss vorhanden sein
• -i eth0: mit eth0-Interface
• -j DROP: verwerfen

Aber wie genau muss man das nun lesen? Es werden alle eingehende Pakete verworfen die keine TCP-Pakete sind?

Danke, für eine Erklärung würde ich mich freuen!

[gms]

die Regel blockiert den TCP ( siehe -p tcp ) -Verbindungsaufbau ( siehe --syn ) von außen ( siehe -A INPUT ) über eth0
=> es werden alle, über eth0 eingehenden, TCP Pakete verworfen, die das SYN Flag, nicht aber die FIN und ACK Flags gesetzt haben. --syn überprüft also nicht nur das SYN-FLAG und ein SYN,ACK würde durchgelassen

[ctwx]

Ach, klar, macht Sinn. Wenn mein Client eine Anfrage nach außen schickt, ist die Antwort ja mindestens mit SYN,ACK.

Jetzt ergibt die Regel auch Sinn, danke!

[eggy]

Was da steht ("Völlige Abdichtung gegen jeden externen Versuch mit dem Host zu kommunizieren.") ist falsch.
Erstens behandelt die Regel nur tcp, es gibt aber noch weitere Protokolle. Zweitens kann man auch "erste" Pakete ohne syn schicken, ist zwar nicht nett, kommt aber vor. usw

[dufty2]

Yep, so ist es, keine gute Regel.
Besser ist per default alles zu verbieten (d.h. die policy auf DROP zu setzen) und dann nur speziell erlaubtes durchzulassen. Stichwort: whitelisting vs. blacklisting

[ctwx]

Völliges Abdichten hatte ich gestern auch probiert und irgendetwas falsch gemacht. Da ging gar nichts mehr. Erst nach einem Neustart hatte sich das wirklich zurückgesetzt. (Ich hatte iptables -F und co versucht ohne Erfolg.)

Die Frage ist ja dann, was durch lassen? Web/Email ist ja TCP, da dürfte die Regel ja eigentlich ganz effektiv sein, oder nicht? Dann zusätzlich noch eine Regel, bei der alles einfach geblockt wird, außer TCP, sodass die erste Regel in Kraft treten kann.

[mat6937]

Die Frage ist ja dann, was durch lassen?

Handelt es sich bei deinem Gerät evtl. um einen Server, mit lauschenden Ports? Ist dein Gerät direkt im Internet, oder hinter einem Router?

[ctwx]

Es handelt sich um meinen PC und ist hinter einem Router. Ich weiß, dass die Absicherung da eigentlich nicht notwendig ist, da im Router alle Ports geblockt sind (ich habe einen Scan von Außerhalb gemacht). Ich wollte das ganze aber einfach mal ausprobieren.

[gms]

klar - besser geht immer - für eine Zielgruppe "nicht so technisch versierte Desktop-Nutzer" bietet diese Regel aber doch eine zusätzliche Sicherheit, für den Fall, daß Netzwerkdienste unbeabsichtigt installiert und/oder fehlerhaft konfiguriert werden. Daß andere Zielgruppen bzw die Bereitstellung von Netzwerkdiensten höhere Anforderungen haben, die von einer "Basic Firewall" nicht abgedeckt werden können, dürfte auch klar sein

[mat6937]

Ich wollte das ganze aber einfach mal ausprobieren.

Dann könntest Du z. B. in der INPUT chain, wenn deren default policy auf ACCEPT ist, für das input interface alles mit dem state INVALID und NEW, mit dem target REJECT oder DROP blocken.

Mit dem counter kannst Du sehen, ob die Regel was bewirkt:

Code: Alles auswählen

sudo iptables -nvx -L INPUT

EDIT:

Z. B.:

Code: Alles auswählen

:~$ sudo iptables -nvx -L INPUT | grep -i new
     116     5094 REJECT     all  --  wlan0  *       0.0.0.0/0            0.0.0.0/0            state INVALID,NEW reject-with icmp-port-unreachable

[dufty2]

Das ist der verkehrte Ansatz.
Auch das eigene LAN muss als feindlich betrachtet werden.
Dass hinter dem Router/Firewall die "grüne Zone" beginnt, sollte spätestens seit "Sony" ad acta gelegt werden.
Allerspätestens

[mat6937]

Auch das eigene LAN muss als feindlich betrachtet werden.

Ja, aber das input interface ist ja auch für das eigene LAN "zuständig".

[Cae]

Der Artikel Basic_Firewall war bis vor kurzem auf einem nicht empfehlenswerten Stand. Die oben zitierte Regeln tut nicht das, was die Beschreibung versprach. Ich habe mich dieses Artikels angenommen und einige Verbesserungen eingepflegt, die hoffentlich korrekter sind. Falls nicht: Das ist ein oeffentlich beschreibbares Wiki, da kann jeder die Fehler fixen, die er findet.

Gruss Cae

[ctwx]

Vielen Dank Cae! Ich schaue es mir nachher mal an!