PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kleine Frage zur OUTPUT chain



sono
11.10.2005, 15:12
Morgen.

Ich arbeite mit gerade in Iptables ein und bin mir nicht ganz sicher wie ich das mit der OUTPUT chain regeln soll .

Es gibt wohl 2 verbreitete Arten wie man das machen kann.
Die einen Verbieten erst mal alles in OUTPUT und lassen dann bei jeder Verbindung nach drausen einen Portrange zu ,

Die andere lassen OUTPUT einfach offen.

Ich bin bis jetzt der Meinung , dass es eigentlich unnötig ist output komplett zu sperren.

1 . Wenn da etwas böses auf meinen Server kommt könnte es daten ohne Probleme durch die offnene Ports nach drausen bekommen.

2 . Wenn das ding auch noch root ist dann ist das so oder so egal

3 . Jedesmal die Ports die nach drausen dürfen mitangeben und extra OUTPUT regeln zu erstellen plustert das script unnötig auf und erhöht durch die quasi Verdoppelung Regeln die Fehleranfälligkeit und veringert die Übersichtlichkeit.


Gibt es eigentlich einen Grund die OUTPUT chain komplett zu sperren und Ports nur bei Bedarf freizugeben ?

Gruß Sono

Rafer
11.10.2005, 16:24
Gibt es eigentlich einen Grund die OUTPUT chain komplett zu sperren und Ports nur bei Bedarf freizugeben ?

Gruß Sono


Klar, wenn du ne Firma hast und Verhindern willst das die Mitarbeiter Surfen wollen/Icq chatting o.ä dafür sit das gut zu gebrauchen.

Hab mit iptables wenig am hut aber is jetz mal n grundgedanke dazu.

sono
12.10.2005, 11:15
Klar, wenn du ne Firma hast und Verhindern willst das die Mitarbeiter Surfen wollen/Icq chatting o.ä dafür sit das gut zu gebrauchen.

Hab mit iptables wenig am hut aber is jetz mal n grundgedanke dazu.

Da die Firewall auf dem router läuft und nicht auf dem Rechner des Angestellten trifft das nicht ganz zu.

Da muss ich nämlich solche Verbindungen filtern oder blocken und das mache ich über input oder forwarding .

Alles was nicht rausdarf darf auch gar nicht erst rein.