iptables gewissens frage

adrian · Beitrag von **adrian** » 07.05.2007 09:41:11

hallo zusammen!

ich hab mir nach dem konfigureieren einer iptables konfig gedanken gemacht, wie die OUTPUT chain am besten zu behandeln ist...

Was sagt ihr?
alles dropen, und nur explizite ports öffnen, oder OUTPUT ACCEPT ??
Was macht sinn, was ist paranoid...??

Gruss adrian

Cloonix · Beitrag von **Cloonix** » 07.05.2007 12:21:49

Also bei mir wird alles ausgehende gedroppt und nur gewissen Ports sind offen. Manches wird dann über den Proxy abgewickelt. Aber leider habe ich mit manchen Anwendungen (speziell meinem IPTV Reciever) Probleme. Also paranoid finde ich es nicht, alles zu sperren, aber du hast dann einen gewissen Mehraufwand.

adrian · Beitrag von **adrian** » 07.05.2007 12:29:37

ok, paranoid ist es wirklich nicht...

doch rein sicherheitstechnisch kann man von einem "Loch" sprechen, wenn OUTPUT auf ACCEPT steht??

nepos · Beitrag von **nepos** » 07.05.2007 12:41:29

Nun ja, darüber könnte man streiten. Prinzipiell macht man es dem Angreifer/Trojaner/etc. einfacher, wenn alle Ports nach draußen offen sind. Allerdings benutzen diese auch meistens Standardports, die normal immer freigeschalten sind.
Persönlich benutze ich für eine Firewall aber auch den Ansatz, erstmal alles zu sperren (allerdings nicht via DROP-Policy sondern via Target REJECT, da hier dann eine entsprechende ICMP-Nachricht verschickt wird) und dann nur wirklich benötigte Ports explizit freizuschalten. Ist halt einfach mehr Aufwand und macht das Firewall-Skript ein wenig komplexer...

adrian · Beitrag von **adrian** » 07.05.2007 21:52:22

ja ok das is auch ne lösung, aber der Aufwand ist ja nur einmalig...

Die Firewall um die es hier gänge wird in einem DHCP server eingesetzt.

grundsätzlich sind die IP's bekannt, und die verwendeten Ports halten sich in Grenzen.