"Peter Andersen" <peterandersen@mespilus.dk> writes:
> Er der nogen grund til at skulle tænke på at lave nogle regler for OUTPUT i
> sin firewall? i øjeblikket har jeg den til default ACCEPT og sat den til at
> droppe source porte på 137 og 138 jeg fandt ud af den lå og smed ud på
> nettet.
> Hvad siger experterne om den sag?
>
Ekspert er nok så meget sagt, men jeg har da en mening om sagen :)
Hvis du kan stole på de brugere, der har adgang til maskinen, og de programmer,
der kører på den, så er der ingen grund til at gøre mere ved den sag. Ellers
så kan det anbefales at have -j ACCEPT på ESTABLISHED,RELATED og så åbne op for
de ting, brugerne skal have adgang til.
> Er der nogen ide/kan det betale sig i iptables, hvor jeg har en default
> INPUT state NEW, RELATED = ACCEPT, at lave regler for hver enkelt source
> port i INPUT/FORWARD kæden i stedet for bare den førnævnte (som jo er noget
> nemmere at administrere)? jeg har en default = DROP på både min INPUT og
> FORWARD.
> Er det ligegyldigt eller hva?
Det er der ingen grund til, hvis det ellers er ESTABLISHED,RELATED du matcher
på... Jeg plejer at have -j ACCEPT på ESTABLISHED,RELATED, og så have et
antal iptables -A INPUT -p tcp --dport <x> -j ACCEPT, evt. med en
-m state --state NEW. Der er ingen grund til at gå ind og matche på noget,
som alligevel ville blive matchet af state reglerne.
mvh
--
Joakim Recht
Tlf. 20 85 54 77
Email god@cs.auc.dk / PGP key
http://www.braindump.dk/pgp.txt
WWW
http://www.braindump.dk /
http://www.compuclub.dk