/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Fedora Core 4 initiel iptables
Fra : Jacob Jensen


Dato : 02-02-06 18:10

Der er et par ting der undrer mig i den initielle iptables-opsætning efter
installation af FC4 (jeg har vedlagt opsætningen for neden):

1:
Hvad gør denne linje i RH-Firewall-1-INPUT-kæden?:
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

2:
Hvad er fordelen ved at lade alle pakker i INPUT-kæden i filter-tabellen gå
videre til RH-Firewall-1-INPUT? Kunne man ikke ligeså godt have alle
firewall-reglerne i INPUT-kæden og så sætte default-target til DROP istedet
for ACCEPT?

3:
Hvordan virker DNS og DHCP med standard firewall-opsætningen?



Min initielle iptables.conf:

# Generated by iptables-save v1.3.0 on Thu Feb 2 14:47:30 2006
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [765:80142]
:RH-Firewall-1-INPUT - [0:0]
-A FORWARD -j RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j
ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j
ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Feb 2 14:47:30 2006


Jacob



 
 
Kent Friis (02-02-2006)
Kommentar
Fra : Kent Friis


Dato : 02-02-06 18:39

Den Thu, 2 Feb 2006 18:09:46 +0100 skrev Jacob Jensen:
> Der er et par ting der undrer mig i den initielle iptables-opsætning efter
> installation af FC4 (jeg har vedlagt opsætningen for neden):
>
> 1:
> Hvad gør denne linje i RH-Firewall-1-INPUT-kæden?:
> -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

Google siger "Rendezvous" eller "Local Server-Less Domain Name System".

http://www.oreillynet.com/pub/wlg/1920?wlg=yes
http://www.microsoft.com/technet/community/columns/cableguy/cg0304.mspx

> 2:
> Hvad er fordelen ved at lade alle pakker i INPUT-kæden i filter-tabellen gå
> videre til RH-Firewall-1-INPUT?

At så kan du se hvilke der er RedHats, og hvilke der er dine
egne.

> Kunne man ikke ligeså godt have alle
> firewall-reglerne i INPUT-kæden og så sætte default-target til DROP istedet
> for ACCEPT?

Hvad default-target (mener du policy?) er har ikke noget at gøre med
opbygningen af kæder.

> 3:
> Hvordan virker DNS og DHCP med standard firewall-opsætningen?

Vha. denne:

> -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Jacob Jensen (02-02-2006)
Kommentar
Fra : Jacob Jensen


Dato : 02-02-06 19:24

> At så kan du se hvilke der er RedHats, og hvilke der er dine
> egne.

ahh :)

> Hvad default-target (mener du policy?) er har ikke noget at gøre med
> opbygningen af kæder.

Ja, policy. Den står til "ACCEPT" som default og så ryger pakkerne ned i
firewall-kæden, hvis sidste regel er REJECT. Jeg synes det må give det samme
resultat hvis man satte policy til "DROP" (bortset fra det du nævnte
ovenfor.

Jacob



Kent Friis (02-02-2006)
Kommentar
Fra : Kent Friis


Dato : 02-02-06 20:17

Den Thu, 2 Feb 2006 19:23:49 +0100 skrev Jacob Jensen:
>> At så kan du se hvilke der er RedHats, og hvilke der er dine
>> egne.
>
> ahh :)
>
>> Hvad default-target (mener du policy?) er har ikke noget at gøre med
>> opbygningen af kæder.
>
> Ja, policy. Den står til "ACCEPT" som default og så ryger pakkerne ned i
> firewall-kæden, hvis sidste regel er REJECT. Jeg synes det må give det samme
> resultat hvis man satte policy til "DROP" (bortset fra det du nævnte
> ovenfor.

Policy bør helt klart være sat til DROP, men derfor kan man godt have
fordel i at slutte af med en REJECT regel alligevel. Forskellen er at
DROP bare smider pakken væk, hvorimod REJECT giver en connection
refused. Så når en eller anden indtaster et forkert ip-nummer, kan
han med det samme se at det er forkert i stedet for at få timeout,
og undre sig over om serveren er overbelastet, eller hvad der er
galt.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Ukendt (04-02-2006)
Kommentar
Fra : Ukendt


Dato : 04-02-06 00:16

Jacob Jensen wrote:
>
> Der er et par ting der undrer mig i den initielle iptables-opsætning efter
> installation af FC4 (jeg har vedlagt opsætningen for neden):
>
> 1:
> Hvad gør denne linje i RH-Firewall-1-INPUT-kæden?:
> -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

Hvis jeg husker ret er 224-239 multicast adresser.

>
> 2:
> Hvad er fordelen ved at lade alle pakker i INPUT-kæden i filter-tabellen gå
> videre til RH-Firewall-1-INPUT?

Reglerne kan bruges til både INPUT og FORWARD uden at
skulle dubbleres. Desuden er det nok nemmere at have alle
standardreglerne i en seperat kæde, hvis man vil lave sine
egne modifikationer.

> Kunne man ikke ligeså godt have alle
> firewall-reglerne i INPUT-kæden og så sætte default-target til DROP istedet
> for ACCEPT?

Havde man sat alle reglerne i INPUT kæden havde man jo også
haft brug for en kopi i FORWARD kæden. Og jeg ville alligevel
slutte med en REJECT regel. Så vidt jeg husker kan REJECT
ikke bruges som default. Forskellen på REJECT og DROP er, at
DROP bare kasserer pakken hvorimod REJECT sender en fejlkode
tilbage med mindre pakken selv er en fejlkode. Valget af
fejlkode kan diskuteres, jeg bruger selv:

-A LOGREJECT -j LOG --log-prefix "REJECT: " --log-level debug
-A LOGREJECT -p tcp -j REJECT --reject-with tcp-reset
-A LOGREJECT -p udp -j REJECT --reject-with icmp-port-unreachable
-A LOGREJECT -j REJECT --reject-with icmp-host-unreachable

>
> 3:
> Hvordan virker DNS og DHCP med standard firewall-opsætningen?

Der er ingen filter på udgående pakker. Og svar på dine udgående
pakker håndteres af state modulet. Dog tror jeg godt man kan komme
ud for, at pakke fra DHCP serveren bliver afvist, hvis det er
længe siden DHCP klienten sidst har sendt noget. Jeg har i hvert
fald sat nogle regler i min egen iptables fil fordi min firewall
fangede nogle pakker fra DHCP serveren.

> -A RH-Firewall-1-INPUT -i lo -j ACCEPT
> -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
> -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
> -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
> -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
> -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
> -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Den state regel ville jeg have rykket langt højere op. Jeg formoder
at state reglen accepterer langt flere pakker end de fem ovenstående
regler. Så for bedst mulig performance ville jeg placere state lige
efter reglen der checker lo interfacet.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste