Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
# ipchains -C input -p tcp -y -i eth0 -s 192.168.1.1 60000 -d 192.168.1.2 www<br />
packet accepted<br />
#<br />
Es sollte stets auch nicht vergessen werden, alle Quellports durchzuprobieren, um<br />
sicherzugehen, daß sich kein trojanisches Pferd eingeschlichen hat, wie zuletzt im<br />
TCP Wrapper (kleine Anmerkung....)<br />
Das Testen von vielen Regeln zugleich<br />
Manchmal kann ein einziger Test auf mehrere Regeln zutreffen. Dies kann auf zwei<br />
verschiedene Weisen erfolgen. Zuerst muß ein Hostname angegeben werden, der in<br />
mehrere IP-Adressen sich auflöst (Siehe Netscape Server: 1 Name = 20 IP - Nummern).<br />
ipchains wird daraufhin so reagieren, als wären verschiedenste IP - Nummern einzeln<br />
getestet worden.<br />
Wenn also der Host Name "www.netscape.com" in 20 IP - Nummern sich auflöst, <strong>und</strong> der<br />
Name "www.intra.net" in 2 IP - Nummern, dann wird der Befehl ipchains -A input -j reject<br />
-s www.intra.net -d www.netscape.com direkt 40 Regeln auf der input chain ausgeben,<br />
testen <strong>und</strong> anzeigen.<br />
Der andere Weg, ipchains dazu zu bewegen, mehrere Regeln zugleich zu testen, ist die<br />
Angabe des Flags -b, <strong>für</strong> bidirektional. Diese Regel läßt ipchains sich so verhalten, als<br />
wenn der Befehl zweimal eingegeben worden wäre, einmal in der einen Richtung, <strong>und</strong><br />
einmal in der anderen Richtung, also <strong>für</strong> eingehende <strong>und</strong> ausgehende Pakete<br />
nacheinander:<br />
# ipchains -b -A forward -j reject -s 192.168.1.1<br />
#<br />
Die Option -b kann zusammen mit den Optionen -I <strong>und</strong> -D, sowie -A <strong>und</strong> -C (Insert,<br />
Delete, Append <strong>und</strong> Check) angewendet werden.<br />
Ein weiteres sinnvolles Flag ist -v, welches angibt, was ipchains mit dem Befehl macht.<br />
Zum Beispiel werden hier das Verhalten von Fragmenten zwischen Host 192.168.1.1 <strong>und</strong><br />
192.168.1.2 untersucht:<br />
# ipchains -v -b -C input -p tcp -f -s 192.168.1.1 -d 192.168.1.2 -i lo<br />
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.1 -> 192.168.1.2 * -> *<br />
packet accepted<br />
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.2 -> 192.168.1.1 * -> *<br />
packet accepted<br />
#<br />
12.12 Praktische, sinnvolle Beispiele<br />
Ich besitze eine Dial on Demand ISDN-Verbindung -i ippp0). Ich rufe News ab (-p<br />
TCP -s news.provider.de nntp) <strong>und</strong> Mail (-p TCP -s mail.provider.de<br />
pop-3). Ich benutze Debian Linux <strong>und</strong> benutzte FTP, um meinen Host regelmäßig<br />
automatisch upzudaten (-p TCP -y -s ftp.debian.org ftp-data). Ich surfe im<br />
Internet über den Proxy des Providers (-p TCP -d proxy.provider.de 8080), aber<br />
ich mag keine Werbung von "doubleclick.net" auf dem Archiv von Dilbert (-p TCP -y -d<br />
199.95.207.0/24 & -p TCP -y -d 199.95.208.0/24).<br />
Ich möchte nicht, daß Leute aus dem Internet mit FTP auf meinen Host zugreifen,<br />
während ich online bin.(-p TCP -d $LOCALIP ftp), aber ich möchte auch nicht, daß<br />
eventuell jemand auf meinen Host mit gespooften IP - Nummern zugreift (IP - Nummern<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins