Kandu.dk - Fedora Core 4 initiel iptables


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Fedora Core 4 initiel iptables
Fra : Jacob Jensen

Dato : 02-02-06 18:10

Der er et par ting der undrer mig i den initielle iptables-opsætning efter
installation af FC4 (jeg har vedlagt opsætningen for neden):

1:
Hvad gør denne linje i RH-Firewall-1-INPUT-kæden?:
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

2:
Hvad er fordelen ved at lade alle pakker i INPUT-kæden i filter-tabellen gå
videre til RH-Firewall-1-INPUT? Kunne man ikke ligeså godt have alle
firewall-reglerne i INPUT-kæden og så sætte default-target til DROP istedet
for ACCEPT?

3:
Hvordan virker DNS og DHCP med standard firewall-opsætningen?

Min initielle iptables.conf:

# Generated by iptables-save v1.3.0 on Thu Feb 2 14:47:30 2006
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [765:80142]
:RH-Firewall-1-INPUT - [0:0]
-A FORWARD -j RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j
ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j
ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Feb 2 14:47:30 2006

Jacob

Kent Friis (02-02-2006)

Kommentar
Fra : Kent Friis

Dato : 02-02-06 18:39

Den Thu, 2 Feb 2006 18:09:46 +0100 skrev Jacob Jensen:
> Der er et par ting der undrer mig i den initielle iptables-opsætning efter
> installation af FC4 (jeg har vedlagt opsætningen for neden):
>
> 1:
> Hvad gør denne linje i RH-Firewall-1-INPUT-kæden?:
> -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

Google siger "Rendezvous" eller "Local Server-Less Domain Name System".

http://www.oreillynet.com/pub/wlg/1920?wlg=yes
http://www.microsoft.com/technet/community/columns/cableguy/cg0304.mspx

> 2:
> Hvad er fordelen ved at lade alle pakker i INPUT-kæden i filter-tabellen gå
> videre til RH-Firewall-1-INPUT?

At så kan du se hvilke der er RedHats, og hvilke der er dine
egne.

> Kunne man ikke ligeså godt have alle
> firewall-reglerne i INPUT-kæden og så sætte default-target til DROP istedet
> for ACCEPT?

Hvad default-target (mener du policy?) er har ikke noget at gøre med
opbygningen af kæder.

> 3:
> Hvordan virker DNS og DHCP med standard firewall-opsætningen?

Vha. denne:

> -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Jacob Jensen (02-02-2006)

Kommentar
Fra : Jacob Jensen

Dato : 02-02-06 19:24

> At så kan du se hvilke der er RedHats, og hvilke der er dine
> egne.

ahh :)

> Hvad default-target (mener du policy?) er har ikke noget at gøre med
> opbygningen af kæder.

Ja, policy. Den står til "ACCEPT" som default og så ryger pakkerne ned i
firewall-kæden, hvis sidste regel er REJECT. Jeg synes det må give det samme
resultat hvis man satte policy til "DROP" (bortset fra det du nævnte
ovenfor.

Jacob

Kent Friis (02-02-2006)

Kommentar
Fra : Kent Friis

Dato : 02-02-06 20:17

Den Thu, 2 Feb 2006 19:23:49 +0100 skrev Jacob Jensen:
>> At så kan du se hvilke der er RedHats, og hvilke der er dine
>> egne.
>
> ahh :)
>
>> Hvad default-target (mener du policy?) er har ikke noget at gøre med
>> opbygningen af kæder.
>
> Ja, policy. Den står til "ACCEPT" som default og så ryger pakkerne ned i
> firewall-kæden, hvis sidste regel er REJECT. Jeg synes det må give det samme
> resultat hvis man satte policy til "DROP" (bortset fra det du nævnte
> ovenfor.

Policy bør helt klart være sat til DROP, men derfor kan man godt have
fordel i at slutte af med en REJECT regel alligevel. Forskellen er at
DROP bare smider pakken væk, hvorimod REJECT giver en connection
refused. Så når en eller anden indtaster et forkert ip-nummer, kan
han med det samme se at det er forkert i stedet for at få timeout,
og undre sig over om serveren er overbelastet, eller hvad der er
galt.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Ukendt (04-02-2006)

Kommentar
Fra : Ukendt

Dato : 04-02-06 00:16

Jacob Jensen wrote:
>
> Der er et par ting der undrer mig i den initielle iptables-opsætning efter
> installation af FC4 (jeg har vedlagt opsætningen for neden):
>
> 1:
> Hvad gør denne linje i RH-Firewall-1-INPUT-kæden?:
> -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

Hvis jeg husker ret er 224-239 multicast adresser.

>
> 2:
> Hvad er fordelen ved at lade alle pakker i INPUT-kæden i filter-tabellen gå
> videre til RH-Firewall-1-INPUT?

Reglerne kan bruges til både INPUT og FORWARD uden at
skulle dubbleres. Desuden er det nok nemmere at have alle
standardreglerne i en seperat kæde, hvis man vil lave sine
egne modifikationer.

> Kunne man ikke ligeså godt have alle
> firewall-reglerne i INPUT-kæden og så sætte default-target til DROP istedet
> for ACCEPT?

Havde man sat alle reglerne i INPUT kæden havde man jo også
haft brug for en kopi i FORWARD kæden. Og jeg ville alligevel
slutte med en REJECT regel. Så vidt jeg husker kan REJECT
ikke bruges som default. Forskellen på REJECT og DROP er, at
DROP bare kasserer pakken hvorimod REJECT sender en fejlkode
tilbage med mindre pakken selv er en fejlkode. Valget af
fejlkode kan diskuteres, jeg bruger selv:

-A LOGREJECT -j LOG --log-prefix "REJECT: " --log-level debug
-A LOGREJECT -p tcp -j REJECT --reject-with tcp-reset
-A LOGREJECT -p udp -j REJECT --reject-with icmp-port-unreachable
-A LOGREJECT -j REJECT --reject-with icmp-host-unreachable

>
> 3:
> Hvordan virker DNS og DHCP med standard firewall-opsætningen?

Der er ingen filter på udgående pakker. Og svar på dine udgående
pakker håndteres af state modulet. Dog tror jeg godt man kan komme
ud for, at pakke fra DHCP serveren bliver afvist, hvis det er
længe siden DHCP klienten sidst har sendt noget. Jeg har i hvert
fald sat nogle regler i min egen iptables fil fordi min firewall
fangede nogle pakker fra DHCP serveren.

> -A RH-Firewall-1-INPUT -i lo -j ACCEPT
> -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
> -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
> -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
> -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
> -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
> -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Den state regel ville jeg have rykket langt højere op. Jeg formoder
at state reglen accepterer langt flere pakker end de fem ovenstående
regler. Så for bedst mulig performance ville jeg placere state lige
efter reglen der checker lo interfacet.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Søg

Reklame

Statistik

Spørgsmål :	177548
Tips :	31968
Nyheder :	719565
Indlæg :	6408803
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste