iptables auf Lappi

[mase76]

Hallo!
Ich benutze meinen Lappi hauptsächlich zu Hause mit einem Debian Server, auf dem iptables
konfiguriert ist. Doch hin und wieder wähle ich mich mit meinem Handy über GPRS ein, oder
bin sonst wo hinter einem Router, wo vielleicht keine Firewall läuft.
Wie kann ich iptables auf meinem Palli so aufbauen, dass ich optimal geschützt bin?
Ich dachte vielleicht an:

Code: Alles auswählen

#standardpolicies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j DROP

#lan
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

Doch das würde ja auch nur funktionieren, wenn ich in einem LAN mit 192.168.0.x bin.
Ansonsten Verbindungen zulassen, die vom mir aufgebaut wurden. Oder wie soll ich
das machen?

[Jelzin]

Naja ... also ich persönlich setz alle Chains erstmal auf DROP. Warum? Ganz einfach, es ist zwar schön, wenn du den eingehenden Traffic kontrollierst, aber den ausgehenden nicht. Schonmal was von Trojanern gehört?

Die Forward-Policy brauchst du eigentlich nicht wenn du nicht Router bist ....

Wegen dem Subnetz-Problem, da hab ich auch noch keinen richtigen Rat gefunden. Man müsste ne Möglichkeit finden, den momentanen IP-Adressbereich rauszufinden, und den dann freischalten. Geht mit Sicherheit per Skript, momentan mach ich's so wie du, händisch ändern.

[mase76]

Mit den ausgehenden hast du ja recht. Das wäre aber dann ein mords Regelwerk. Aber das muss ich auf jeden
Fall noch ändern. Klar, die Forwards brauch ich nicht, ich hab nur grad die ersten Zeilen vom Router kopiert.
Mit den Subnetzen ist es ja meist so, dass diese 192.168.x.x lauten. Dann wäre das grösste abgedeckt.
Aber wie verfass ich das in eine Regel? Ich kann ja nur einstellen, dass die letzte Zahl der IP beliebig ist.