Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
FTP1 aus intern bel. TCP >1023 21 bel. zulassen<br />
FTP2 ein bel. intern TCP 21 >1023 ja zulassen<br />
FTP3 aus intern bel. TCP >1023 >1023 bel. zulassen<br />
FTP4 ein bel. intern TCP >1023 >1023 ja zulassen<br />
SMTP1 aus Service bel. TCP >1023 25 bel. zulassen<br />
SMTP2 ein bel. Service TCP 25 >1023 ja zulassen<br />
SMTP3 ein bel. Service TCP >1023 25 bel. zulassen<br />
SMTP4 aus Service bel. TCP 25 >1023 ja zulassen<br />
NNTP1 aus Server NNTP TCP >1023 119 bel. zulassen<br />
NNTP2 ein NNTP Server TCP 119 >1023 ja zulassen<br />
NNTP3 ein NNTP Server TCP >1023 119 bel. zulassen<br />
NNTP4 aus Server NNTP TCP 119 >1023 ja zulassen<br />
HTTP1 aus Service bel. TCP >1023 bel. bel. zulassen<br />
HTTP2 ein bel. Service TCP bel. >1023 ja zulassen<br />
DNS1 aus Service bel. UDP 53 53 zulassen<br />
DNS2 ein bel. Service UDP 53 53 zulassen<br />
DNS3 ein bel. Service UDP bel. 53 zulassen<br />
DNS4 aus Service bel. UDP 53 bel. zulassen<br />
DNS5 aus Service bel. TCP >1023 53 bel. zulassen<br />
DNS6 ein bel. Service TCP 53 >1023 ja zulassen<br />
DNS7 ein bel. Service TCP >1023 53 bel. zulassen<br />
DNS8 aus Service bel. TCP 53 >1023 ja zulassen<br />
STD1 aus bel. bel. bel. bel. bel. bel. verbieten<br />
STD2 ein bel. bel. bel. bel. bel. bel. verbieten<br />
Regel-Erläuterungen<br />
• SPOOF: Pakete, die angeblich von internen IP-Adressen stammen, d.h.<br />
gefälschte Pakete die mit hoher Wahrscheinlichkeit von einem Angreifer<br />
stammen oder deren Ursache in einer Fehlkonfiguration liegt, werden<br />
blockiert.<br />
• TEL1 <strong>und</strong> TEL2: Ausgehende TELNET-Verbindungen werden durch diese<br />
Regeln erlaubt.<br />
• FTP1, FTP2, FTP3 <strong>und</strong> FTP4: Ausgehende FTP-Verbindungen im passiven<br />
Modus werden durch diese Regeln zugelassen, wobei die Regeln FTP1 <strong>und</strong><br />
FTP2 den Kommandokanal <strong>und</strong> die Regeln FTP3 <strong>und</strong> FTP4 den Datenkanal<br />
ermöglichen. Beliebige TCP-Verbindungen vom Service-Host zu jedem<br />
Rechner im Internet werden durch die beiden letztgenannten Regeln<br />
ebenfalls ermöglicht, falls auf beiden Seiten Portnummern >1023 vorliegen.<br />
• SMTP1 <strong>und</strong> SMTP2: Ausgehende Post vom Service-Host ins Internet wird<br />
durch diese Regeln zugelassen.<br />
• SMTP3 <strong>und</strong> SMTP4: Eingehende Post aus dem Internet zum Service-Host<br />
wird durch diese Regeln zugelassen.<br />
• NNTP1 <strong>und</strong> NNTP2: Ausgehende Usenet-News von Ihrem News-Server zum<br />
News-Server Ihres Service-Providers werden durch diese Regeln zugelassen.<br />
• HTTP1 <strong>und</strong> HTTP2: Diese Regeln erlauben Verbindungen zu HTTP-Servern<br />
auf beliebigen Maschinen im Internet durch den HTTP-Proxy-Server auf dem<br />
Service-Host. Desweiteren werden allen TCP-Clients auf dem Service-Host,<br />
die Portnummern >1023 benutzen, Verbindungen zu allen Servern <strong>und</strong> allen<br />
Ports auf beliebigen Rechnern im Internet gestattet. Dadurch wird dem HTTP-<br />
Proxy-Server ermöglicht zu HTTP-Servern, die nicht die Standard-<br />
Portnummer 80 benutzen, Verbindungen herzustellen. Trotz der<br />
Großzügigkeit dieser Regeln filtern sie jedoch, um nur ausgehende<br />
Verbindungen zuzulassen, bezüglich der ACK-Bits. Die Regeln FTP3 <strong>und</strong><br />
Erstellt von Doc Gonzo - http://kickme.to/plugins