Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• ipfwadm -F -l -n ,um sich die Regeln zur Weiterleitung der Pakete zwischen<br />
den Interfaces anzeigen zu lassen<br />
• ipfwadm -I -l -n , <strong>für</strong> eingehende Pakete<br />
• ipfwadm -O -l -n , <strong>für</strong> ausgehende Pakete<br />
10.1 Überprüfung der forwarding Regeln<br />
ipfwadm -F -l -n<br />
IP firewall forward rules, default policy: deny<br />
type prot source destination ports<br />
acc/m all 10.0.1.0/24 0.0.0.0/0 n/a<br />
Die Ausgabe besagt, daß die default policy auf deny gesetzt ist. in der Tabelle steht, daß<br />
alle Pakete aus dem Netzwerk 10.0.1.0 in das Internet weitergeleitet werden, <strong>und</strong> zwar auf<br />
allen Ports <strong>und</strong> mit aktiviertem masquerading (acc/m). Die Zahl 24 gibt die signifikanten<br />
Bits an. /24 entspricht 255.255.255.0 also 3 mal 8 Bit. Das bedeutet, daß ein Class-C Netz<br />
angesprochen wird. Das letzte Byte (8 Bit) ist also variabel. Wer z.B. hinter der <strong>Firewall</strong><br />
einen einzelnen Host betreiben möchte, der sollte die Option /32 benutzen, damit nur<br />
dieser einzelne Host freigeschaltet wird. Die Interfaces sind hier nicht mit angegeben, also<br />
Vorsicht mit Verwechslungen.<br />
10.2 Überprüfung der ausgehenden Regeln<br />
ipfwadm -O -l -n<br />
IP firewall output rules, default policy: deny<br />
type prot source destination ports<br />
rej all 0.0.0.0/0 10.0.0.0/8 n/a<br />
rej all 0.0.0.0/0 127.0.0.0/8 n/a<br />
acc all 10.0.1.1 0.0.0.0/0 n/a<br />
Die default policy ist deny. Es wird nirgendwo nach Portnummern selektiert.<br />
Wichtig ist hierbei die Reihenfolge der Regeln, die auch bei der Ausgabe der Regeln<br />
streng eingehalten wird. Zuerst werden alle Regeln aufgelistet, die Pakete verbieten, <strong>und</strong><br />
danach kommen die Regeln, die Pakete zulassen. Pakete, die erst zugelassen werden,<br />
sind hindurch. Ein Ablehnen eines Paketes durch eine nachfolgende Regel bleibt dann<br />
ohne Wirkung.<br />
10.3 Überprüfung der eingehenden Regeln<br />
ipfwadm -I -l -n<br />
IP firewall input rules, default policy: deny<br />
type prot source destination ports<br />
deny all 10.0.0.0/8 0.0.0.0/0 n/a<br />
acc icmp 0.0.0.0/0 24.128.61.136 0,3,4,11,12<br />
acc icmp 24.128.0.0/16 24.128.61.136 8<br />
deny tcp 0.0.0.0/0 24.128.61.136 * -> 2049, 2000, 6000:6001<br />
deny udp 0.0.0.0/0 24.128.61.136 * -> 2049<br />
acc udp 24.128.60.8 24.128.61.136 53 -> 53<br />
acc tcp 0.0.0.0/0 24.128.61.136 1024:65535 -> 80<br />
acc tcp 0.0.0.0/0 24.128.61.136 80 -> 1024:65535<br />
Die Regeln besagen:<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins