Debian Lenny
Hallo, habe noch nie etwas mit Ip Tables zu tun gehabt. Ich weiss nicht ich habe schon in google und auch hier geschaut aber irgendwie will das nicht in meine birne reingehen. Wie kann ich mich am besten schützen mit Iptables.
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp
3306/tcp open mysql
so siehts bei mir im moment aus.Ich habe Pidgin laufen und habe angst das wenn ich hier was eingebe alles geblockt wird. Kann mir da jemand helfen?
kennt jemand ein einfaches tutorial ?
Danke im voraus
Frage zu IpTables setup
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Re: Frage zu IpTables setup
Hi,
Tutorials gibt es tausende, aber da ich gerade auf die Formatierung einer langsamen HD warte und etwas Zeit habe hier ein kurzer Abriss:
iptables unterscheidet grundsätzlich erst mal 3 Zustände: INPUT, OUTPUT und FORWARD. INPUT ist zuständig für alle IP-Pakete, die an den Rechner selbst gerichtet sind. OUTPUT betrifft die Pakete, die der Rechner selbst verschickt. FORWARD schließlich behandelt alle Pakete, die irgendwie zum Rechner gelangen, aber nicht direkt für den Rechner selbst bestimmt sind. Die FORWARD-Regel wird also erst interessant, wenn sich der Rechner in mehr als einem Netz befindet und zwischen diesen Netzen vermitteln soll (Stichwort: Router).
Dein Posting verleitet mich zur Annahme, dass letzteres eher nicht der Fall ist. Demnach entfällt wahrscheinlich auch NAT (iptables -t nat ...). NAT steht für Network Address Translation und kann genutzt werden, um IP-Pakete mittels iptables zu manipulieren. Ein äußerst häufig anzutreffendes Szenario für diesen Fall sind DSL-Router. Diese Router haben gewöhnlich 2 Netzwerkschnittstellen - eine mit einer öffentlichen IP für das Internet und eine zweite mit einer IP im lokalen Netzwerk. So ein NAT-Router stellt nun seine Internetverbindung mehreren Rechnern in seinem LAN zur Verfügung. Da im Internet nur diese Internet-IP gilt, tauscht der NAT-Router die IP-Adressen der Clients durch seine eigene Internet-IP aus, so dass vom Internet aus nur diese eine IP sichtbar ist. Die Antwort-Pakete auf diese manipulierte Pakete "wandelt" der NAT-Router dann entsprechend zurück und ersetzt sie IP durch die ursprüngliche IP des Clients.
Soweit zu den Grundlagen: In deinem Szenario wäre also erstmal zu klären, ob es sich bei dem Rechner um eine reine Workstation handelt, oder ob der Rechner bestimmte Dienste auch für andere Rechner zur Verfügung stellen soll/muss (also ein Server ist). Oder ist der Rechner doch ein Router ?
Tutorials gibt es tausende, aber da ich gerade auf die Formatierung einer langsamen HD warte und etwas Zeit habe hier ein kurzer Abriss:
iptables unterscheidet grundsätzlich erst mal 3 Zustände: INPUT, OUTPUT und FORWARD. INPUT ist zuständig für alle IP-Pakete, die an den Rechner selbst gerichtet sind. OUTPUT betrifft die Pakete, die der Rechner selbst verschickt. FORWARD schließlich behandelt alle Pakete, die irgendwie zum Rechner gelangen, aber nicht direkt für den Rechner selbst bestimmt sind. Die FORWARD-Regel wird also erst interessant, wenn sich der Rechner in mehr als einem Netz befindet und zwischen diesen Netzen vermitteln soll (Stichwort: Router).
Dein Posting verleitet mich zur Annahme, dass letzteres eher nicht der Fall ist. Demnach entfällt wahrscheinlich auch NAT (iptables -t nat ...). NAT steht für Network Address Translation und kann genutzt werden, um IP-Pakete mittels iptables zu manipulieren. Ein äußerst häufig anzutreffendes Szenario für diesen Fall sind DSL-Router. Diese Router haben gewöhnlich 2 Netzwerkschnittstellen - eine mit einer öffentlichen IP für das Internet und eine zweite mit einer IP im lokalen Netzwerk. So ein NAT-Router stellt nun seine Internetverbindung mehreren Rechnern in seinem LAN zur Verfügung. Da im Internet nur diese Internet-IP gilt, tauscht der NAT-Router die IP-Adressen der Clients durch seine eigene Internet-IP aus, so dass vom Internet aus nur diese eine IP sichtbar ist. Die Antwort-Pakete auf diese manipulierte Pakete "wandelt" der NAT-Router dann entsprechend zurück und ersetzt sie IP durch die ursprüngliche IP des Clients.
Soweit zu den Grundlagen: In deinem Szenario wäre also erstmal zu klären, ob es sich bei dem Rechner um eine reine Workstation handelt, oder ob der Rechner bestimmte Dienste auch für andere Rechner zur Verfügung stellen soll/muss (also ein Server ist). Oder ist der Rechner doch ein Router ?