Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Fehlermeldungen, wie Festplatte voll, o.ä. senden darf. Es dürfen ebenfalls mehrere e-<br />
Mail Adressen angegeben werden, die durch ein Leerzeichen getrennt sein müssen.<br />
Die Konfigurations Sektion<br />
Diese Sektion wird durch das Schlüsselwort rules eingeleitet. Jede Regel in diesem<br />
Abschnitt beginnt mit einem der Schlüsselworte:<br />
• accept<br />
• block<br />
• reject<br />
> Die Regel accept veranlaßt den Filter, die Pakete passieren zu lassen, falls die Regel<br />
zutrifft. Das Schlüsselwort block veranlaßt den Filter, das Paket stillschweigend zu<br />
verwerfen, ohne eine Fehlermeldung an die Quelladresse <strong>zurück</strong> zu senden. Die reject<br />
Regel sendet über ICMP die Nachricht ICMP_MESSAGE_UNREACHABLE an die<br />
Quelladresse <strong>zurück</strong>. Die Art der Nachricht kann frei bestimmt werden, um nicht zu viele<br />
aussagekräftige Informationen an einen Angreifer auszuliefern.<br />
Zudem kann man eine Liste von IP Optionen den Regeln hinzufügen. Ein Paket erfüllt<br />
genau dann eine Regel, wenn mindesten ein der aufgeführten IP Optionen zutreffend ist.<br />
Ein Spezialfall ist das TTL Feld (Time To Live), welches keine echte Option darstellt. Der<br />
Wert des TTL Feldes kann mit einer Konstanten verglichen werden. Ein Paket erfüllt eine<br />
solche Regel nur dann, wenn der Vergleich zutreffend ist, unabhängig davon, ob eine der<br />
Optionen zutrifft, oder nicht.<br />
Informationen über das Protokoll werden mit folgenden Schlüsselworten angegeben:<br />
• tcp<br />
• udp<br />
• icmp<br />
• igmp<br />
• rip<br />
• all<br />
Das letzte Schlüsselwort all beinhaltet alle vorhergehenden.<br />
Eine weitere Möglichkeit ist, direkt die Protokollnummer in dem IP Header anzugeben, z.B.<br />
die 9 <strong>für</strong> IGP. Bei der Verwendung von icmp oder igmp kann die Regel auf einige<br />
Nachrichtentypen begrenzt werden. RIP ist hier ein Spezialfall des UDP Protokolls, wobei<br />
nur UDP Pakete berücksichtigt werden, die auf Port 520 eintreffen. Ein RIP Paket erfüllt<br />
eine Regel, wenn alle angekündigten Ziele auch zutreffend sind. Das folgende Beispiel<br />
beschreibt eine solche Regel:<br />
accept rip outside /* trifft auf eine Regel zu*/<br />
from 194.40.243.5 /* nächstes Gateway im Netz */<br />
to 194.40.243.4; /* die eigene Adresse */<br />
Das Paket erfüllt die Regel, wenn die Quelladresse eine der Adressen ist, die nach dem<br />
Schlüsselwort from <strong>und</strong> der Zieladresse eine der Adressen eine der Adressen nach dem<br />
Schlüsselwort to ist. Anstelle einer Liste von IP - Nummern kann auch das Schlüsselwort<br />
inside verwendet werden, welches der Ersatz <strong>für</strong> alle Adressen, die unter internalnets<br />
angegeben worden sind. Die Verwendung des Schlüsselwortes outside bezeichnet alle<br />
anderen, die nicht unter internalnets angegeben worden sind. Das könnte der Rest des<br />
Internets z.B. sein.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins