Iptables Connection Tracking....

[KingBonecrusher]

Hi!

Ich wollte schon seit langem mal mein Script für iptables verbessern. Unter anderem dachte ich an die Integration der connection tracking funktion.

Weiss jemand welche Vorteile mir das bietet gegenüber fester in/out Ports?

Hier mal meine derzeitige Konfiguration:

Code: Alles auswählen

#!/bin/bash


# Tabelle flushen
iptables -F
iptables -t mangle -F
iptables -X
iptables -t mangle -X


# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# Loopback-Netzwerk-Kommunikation zulassen
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# SMB
iptables -A OUTPUT -p tcp --sport netbios-ssn -j ACCEPT
iptables -A OUTPUT -p tcp --sport microsoft-ds -j ACCEPT
iptables -A INPUT -p tcp --dport netbios-ssn -j ACCEPT
iptables -A INPUT -p tcp --dport microsoft-ds -j ACCEPT


# VMWARE
iptables -A OUTPUT -p tcp --sport 902 -j ACCEPT
iptables -A INPUT -p tcp --dport 902 -j ACCEPT

# MAIL
iptables -A OUTPUT -p tcp --dport smtp -j ACCEPT
iptables -A OUTPUT -p tcp --dport ssmtp -j ACCEPT
iptables -A INPUT -p tcp --sport smtp -j ACCEPT
iptables -A INPUT -p tcp --sport ssmtp -j ACCEPT

# DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

# HTTP & HTTPS
iptables -A OUTPUT -p tcp --dport http -j ACCEPT
iptables -A OUTPUT -p tcp --dport https -j ACCEPT
iptables -A INPUT -p tcp --sport http -j ACCEPT
iptables -A INPUT -p tcp --sport https -j ACCEPT

# SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT

# ICMP Echo-Request (ping) zulassen und beantworten
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

# NTPDATE
iptables -A OUTPUT -p udp --dport ntp -j ACCEPT
iptables -A INPUT -p udp  --sport ntp -j ACCEPT
iptables -A OUTPUT -p udp --sport ntp -j ACCEPT
iptables -A INPUT -p udp --dport ntp -j ACCEPT

(1) iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT

Habe bereits probiert es so wie (1) zu gestalten, jedoch würde doch logischweise bei dieser neuen Konfiguration jedes Programm eine neue Verbindung öffnen dürfen. Wäre doch die Top Konfiguration für Schadsoftware?! Ohne NEW würden dann ja nur noch die bereits bekannten Verbindungen beantwortet werden. Das funktioniert auch, jedoch wie gesagt, meine Frage, wie macht sich das Sicherheitstechnisch bemerkbar?

[H4kk3r]

Wenn schon, dann das:

Code: Alles auswählen

iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

'--sport' verwende ich nur, wenn mir die Server bzw. die Subnetzte bekannt sind. Es heißt auch, '--sport' ist Mord. Das gilt nicht für die OUTPUT-Chain.

So sieht es bei mir aus:
http://nopaste.debianforum.de/4747