xDSL.at

[andi]

Hi!

bin grad beim einrichten meiner firewall. forward ipchains funktioniert schon mal ganz brav.
nur bei den input & output-chains weiss ich nicht so recht.

was muss man denn erlauben um eine verbindung zu a-online zu ermöglichen, und was muss ich auf alle fälle noch verbieten?

HERZLICHEN DANK !!!!
andi

---
tcpdump verrät mir:

eth1:
von alcatel.pptp auf myhost.blackjack und zurück
und von zeit zu zeit arp requests & replys ... wobei ich wirklich nicht weis wieso.

ppp0:
port 1043, hellos und igmp querys

netstat -lptu liefert:

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 399/httpd
tcp 0 0 0.0.0.0:1024 0.0.0.0:* LISTEN 337/rpc.mountd
tcp 0 0 0.0.0.0:927 0.0.0.0:* LISTEN 324/rpc.statd
tcp 0 0 10.0.0.140:53 0.0.0.0:* LISTEN 279/named
tcp 0 0 myhost:53 0.0.0.0:* LISTEN 279/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 279/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 221/sshd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 203/portmap
udp 0 0 0.0.0.0:1042 0.0.0.0:* 337/rpc.mountd
udp 0 0 0.0.0.0:1041 0.0.0.0:* -
udp 0 0 0.0.0.0:2049 0.0.0.0:* -
udp 0 0 0.0.0.0:925 0.0.0.0:* 324/rpc.statd
udp 0 0 0.0.0.0:1040 0.0.0.0:* 279/named
udp 0 0 10.0.0.140:53 0.0.0.0:* 279/named
udp 0 0 myhost:53 0.0.0.0:* 279/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 279/named
udp 0 0 0.0.0.0:111 0.0.0.0:* 203/portmap

lsof -i liefert:

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 203 root 3u IPv4 206 UDP *:sunrpc
portmap 203 root 4u IPv4 207 TCP *:sunrpc (LISTEN)
sshd 221 root 3u IPv4 217 TCP *:ssh (LISTEN)
named 279 root 4u IPv4 273 UDP *:1040
named 279 root 20u IPv4 267 UDP localhost:domain
named 279 root 21u IPv4 268 TCP localhost:domain (LISTEN)
named 279 root 22u IPv4 269 UDP myhost.mydomain:domain
named 279 root 23u IPv4 270 TCP myhost.mydomain:domain (LISTEN)
named 279 root 24u IPv4 271 UDP myhost.mydomain:domain
named 279 root 25u IPv4 272 TCP myhost.mydomain:domain (LISTEN)
rpc.statd 324 root 0u IPv4 312 UDP *:925
rpc.statd 324 root 1u IPv4 315 TCP *:927 (LISTEN)
rpc.mount 337 root 3u IPv4 335 UDP *:1042
rpc.mount 337 root 4u IPv4 338 TCP *:1024 (LISTEN)
httpd 399 root 16u IPv4 410 TCP *:http (LISTEN)
httpd 400 root 16u IPv4 410 TCP *:http (LISTEN)
httpd 401 root 16u IPv4 410 TCP *:http (LISTEN)
pptp 429 root 4u IPv4 437 TCP myhost.mydomain:blackjack->alcatel:pptp (ESTABLISHED)
httpd 605 root 16u IPv4 410 TCP *:http (LISTEN)

[Belldandy]

Also den OUTPUT kannst auf Accept lassen, nur den INPUT solltest auf Drop stellen und wennst das machst brauchst folgendes damit deine Verbindung geht :

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

iptables -A INPUT -j block
iptables -A FORWARD -j block

iptables -N KEEP_STATE
iptables -F KEEP_STATE


ich glaub es geht auch kürzer aber auf jedenfall funktioniert es so bei mir.

cya