Kleine Frage zur OUTPUT chain

sono

sono

Sack Flöhe Hüter
Morgen.

Ich arbeite mit gerade in Iptables ein und bin mir nicht ganz sicher wie ich das mit der OUTPUT chain regeln soll .

Es gibt wohl 2 verbreitete Arten wie man das machen kann.
Die einen Verbieten erst mal alles in OUTPUT und lassen dann bei jeder Verbindung nach drausen einen Portrange zu ,

Die andere lassen OUTPUT einfach offen.

Ich bin bis jetzt der Meinung , dass es eigentlich unnötig ist output komplett zu sperren.

1 . Wenn da etwas böses auf meinen Server kommt könnte es daten ohne Probleme durch die offnene Ports nach drausen bekommen.

2 . Wenn das ding auch noch root ist dann ist das so oder so egal

3 . Jedesmal die Ports die nach drausen dürfen mitangeben und extra OUTPUT regeln zu erstellen plustert das script unnötig auf und erhöht durch die quasi Verdoppelung Regeln die Fehleranfälligkeit und veringert die Übersichtlichkeit.


Gibt es eigentlich einen Grund die OUTPUT chain komplett zu sperren und Ports nur bei Bedarf freizugeben ?

Gruß Sono
 
sono schrieb:
Gibt es eigentlich einen Grund die OUTPUT chain komplett zu sperren und Ports nur bei Bedarf freizugeben ?

Gruß Sono


Klar, wenn du ne Firma hast und Verhindern willst das die Mitarbeiter Surfen wollen/Icq chatting o.ä dafür sit das gut zu gebrauchen.

Hab mit iptables wenig am hut aber is jetz mal n grundgedanke dazu.
 
Klar, wenn du ne Firma hast und Verhindern willst das die Mitarbeiter Surfen wollen/Icq chatting o.ä dafür sit das gut zu gebrauchen.

Hab mit iptables wenig am hut aber is jetz mal n grundgedanke dazu.

Da die Firewall auf dem router läuft und nicht auf dem Rechner des Angestellten trifft das nicht ganz zu.

Da muss ich nämlich solche Verbindungen filtern oder blocken und das mache ich über input oder forwarding .

Alles was nicht rausdarf darf auch gar nicht erst rein.
 

Ähnliche Themen

iptables - default policy - Server macht dicht

Zurück
Oben