Erweiterung IPTables-Regeln

[Stefanowitsch]

Hallo!

Ich hätte gerne meine IPTables-Regeln so werweitert, dass Pakete, die über TCP- und UDP-Ports größer als 1024 rausgehen, gedroppt werden.
1. Lohnt sich das überhaupt? Ich weiß, dass EMule und Konsorten Ports größer 1024 zur Kommunikation verwenden, aber die brauche ich nicht. Gibt es sonst noch Programme, die dadurch beeinflusst werden können?
2. Ich habe mir mal einen Regelsatz gebastelt (inklusive Logging):

Code: Alles auswählen

iptables -A OUTPUT -o $IFACE_EXT -p tcp --sport 1025:65535 -j LOG --log-prefix "Nicht raus:"
iptables -A OUTPUT -o $IFACE_EXT -p tcp --dport 1025:65535 -j LOG --log-prefix "Nicht raus:"

iptables -A OUTPUT -o $IFACE_EXT -p tcp --sport 0:1024 -j ACCEPT
iptables -A OUTPUT -o $IFACE_EXT -p tcp --dport 0:1024 -j ACCEPT

$IFACE_EXT bezeichnet dabei die Netzwerkkarte, über die die Kommunikation ins Internet läuft.
Sind die Regeln so korrekt? Muss ich auch noch einen Satz für die filter-chain bauen?
Danke für die Hilfe!

cu

Stefan

[spiffi]

Also, zunächst einmal fangen die nichtpriviligierten Ports (oder auch Highports) bei 1024 an, nicht bei 1025.
Wenn Du in der OUTPUT-Kette Source Ports >=1024 filterst, wirst Du keinen Internet-Zugriff mehr haben, da sämtliche Client-Software (Web-Browser, FTP, ...) Source-Ports >=1024 verwendet. Um einen Port <1024 zu öffnen braucht man auf Unix-Derivaten root-Rechte.

Edit: Und wenn Du dports >=1024 filterst, wird Passive FTP nicht mehr funktionieren (es sei denn, Du hast eine RELATED Regel).

[Stefanowitsch]

Hallo,

das heißt also, mein Vorhaben hat nicht wirklich viel Praxistauglichkeit?

cu

Stefan