Firewall so richtig?

[skar]

Wollte mal wissen, ob die Firewall so richtig konfiguriert ist für folgende Aufgaben:

Email, internet, HTTP Downloads, FTP, p2p server/client.

Code: Alles auswählen

#internet schnittstelle
IFACE_EXT=eth0

#Loopbackdevice
IFACE_LO=Lo

#Nameserver
Namesrver=213.191.74.18

# Default Policy: legt fest, das alles gedropt wird, was nicht expliziet zugelassen wird
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#löschen aller bisherigen regeln
iptables -F
iptables -X

# alles, was über die Loopbackdevice geht, wird zugelassen.
iptables -A INPUT  -i $IFACE_LO -j ACCEPT
iptables -A OUTPUT -o $IFACE_LO -j ACCEPT

#Alles, was zu einer bestehenden Verbindung gehört wird zugelassen
iptables -A INPUT -i $IFACE_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $IFACE_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Alles was von aussen kommt und zu keiner bestehenden Verbindung gehört wird geblockt.
iptables -A INPUT -i $IFACE_EXT -m state --state NEW -j DROP

################## HTTP ##############################
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 dport 1024; -j ACCEPT

############## EMAIL ################################
iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 dport 1024; -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 dport 1024; -j ACCEPT

################### HTTPS ##########################
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 dport 1024; -j ACCEPT

############### FTP ################################
iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 dport 1024; -j ACCEPT

############ DNS Server ############################
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s $Nameserver --sport 53 -j ACCEPT

iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s $Nameserver --sport 53 -j ACCEPT

############## PING erlauben #######################
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type echo-reply   -j ACCEPT


######### icmp ######################################
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench     -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded     -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

########## Protokollieren der Pakete #################
iptables -A INPUT -p udp --dport netbios-ns  -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP
iptables -A INPUT  -j LOG
iptables -A OUTPUT -j LOG

###### p2p ###############
iptables -A OUTPUT -p tcp --sport 4661 --dport 4662 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 4662 --dport 4662 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 4663 --dport 4663 -j ACCEPT

iptables -A OUTPUT -p udp --sport 4665 --dport 4665 -j ACCEPT
iptables -A OUTPUT -p udp --sport 4666 --dport 4666 -j ACCEPT
iptables -A OUTPUT -p udp --sport 4667 --dport 4667 -j ACCEPT

iptables -A INPUT -p tcp --sport 4661 --dport 4662 -j ACCEPT
iptables -A INPUT -p tcp --sport 4662 --dport 4662 -j ACCEPT
iptables -A INPUT -p tcp --sport 4663 --dport 4663 -j ACCEPT

iptables -A INTPUT -p udp --sport 4665 --dport 4665 -j ACCEPT
iptables -A INTPUT -p udp --sport 4666 --dport 4666 -j ACCEPT
iptables -A INTPUT -p udp --sport 4667 --dport 4667 -j ACCEPT

########## unerwüschte Pakete ignorieren ##################
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP

############## Pakete mit FehlerMeldung gehen an das Programm zurück ########
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP

was muß ich noch eintragen, damit ich auch irc nutzen kann?

Ist es so ok, oder stimmt was net?

THX
Skar

[blackm]

Hi,

Also ich hab mit mal den Anfang angesehen..sieht ganz gut aus...

was muß ich noch eintragen, damit ich auch irc nutzen kann?

Willst du nur einen IRC Client verwenden oder einen Server laufen lassen? Oder funktioniert DCC nicht?

by, Martin

[skar]

nur clienten. nutze IRC nur ab und zu, um im Internet zu chatten.

Tausend Dank für die ANtwort

Skar

[pdreker]

IRC sollte einfach so funktionieren. Für DCC Send usw. brauchst Du noch das ip_conntrack_irc Modul, dann sollte (!) auch das gehen.

Patrick

[The Ripper]

Die meisten IRC-Server werden über die Ports 6667-6669 angesprochen. Füge diese 3 Zeilen hinter die p2p-Einstellungen ein:
iptables -A OUTPUT -p tcp --dport 6667 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6668 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6669 -j ACCEPT

Bei ausgehenden Paketen würde ich den Source-Port bei der Output-Filterung übrigens nicht explizit angeben, wenn sich dein Mailclient dynamisch einen Port zuweisen lässt (und die SPort-Nummer 1024 deutet exakt darauf hin), wird das ganze nämlich nicht mehr funktionieren sobald er mal einen anderen Port zugewiesen bekommt.
Analog verhält sich das ganze bei der Input-Filterung und DPorts.

Wenn du keine Angst vor Trojaner oder Spyware hast, kannst du auch alle ausgehenden Pakete zulassen, dann kannst du dir die DNS, HTTP(S), FTP, Mail und IRC-Sachen sparen.
iptables -A OUTPUT -o $IFACE_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT
wird dazu in
iptables -A OUTPUT -o $IFACE_EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
geändert.

[Black666]

Hi!

Was mir so auf die schnelle aufgefallen ist:

Du hast bei jedem Dienst (http, email, ...) auch die Verbindungen für INPUT geöffnet. Ist soviel ich weiß nicht nötig, da du ja eh ganz oben definiert hast:

#Alles, was zu einer bestehenden Verbindung gehört wird zugelassen
iptables -A INPUT -i $IFACE_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT

Wenn du jetzt also dich zu einem Webserver verbindest, kommt die Antwort auf Grund der ESTABLISHED, RELATED Regel sowieso rein. Bzw. anders gesagt - es kommt auch wirklich nur die Antwort vom Webserver rein, den du gerade kontaktierst. Wenn du gerade nicht im Internet surfst, öffnest du mit einer eigenen Regel für --sport 80 deinen Rechner auf Port 1024. Ich bräuchte also nur mit einem Quellport von 80 auf deine Firewall mit Zielport 1024 gehen und würde durchkommen - ob mir das jetzt was bringt oder nicht, sei dahingestellt, aber man sollte nicht mehr aufmachen als nötig.

Schaut aber recht toll aus dein Regelset - was mir sehr gefällt, was viele vergessen, ist die Struktur und die Kommentare. In 2 Monaten weißt du sonst nämlich nicht mehr, was du mit einer bestimmten Regel bewirken wolltest.