Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
# ipchains -I input 1 -j DENY<br />
# ipchains -I output 1 -j DENY<br />
# ipchains -I forward 1 -j DENY<br />
Die Änderungen:<br />
# ipchains -D input 1<br />
# ipchains -D output 1<br />
# ipchains -D forward 1<br />
#<br />
Wenn sich die Änderungen auf eine einzige chain beziehen, dann sollte eine neue chain<br />
mit neuen Regeln angelegt werden, <strong>und</strong> dann diejenige Regeln in der input (oder anderen)<br />
chain geändert werden, so daß sie nun auf die neue chain zeigt.<br />
Schutz vor Spoofing<br />
IP Spoofing ist ein Angriff, bei dem Pakete mit falscher Absende- Adresse vorgetäuscht<br />
werden. Viele der exploits im Internet, die Teardrop, Ping of Death Angriffe ausführen,<br />
verwenden spoofing.<br />
Der einfachste Weg ist die Überprüfung der Quell-IP - Nummer <strong>und</strong> dem zugehörigen<br />
Interface. Diese Überprüfung findet im IP Routing Code statt, also nicht in dem <strong>Firewall</strong>-<br />
Code selber. Um dieses zu überprüfen, sollte das Vorhandensein der Datei:<br />
/proc/sys/net/ipv4/conf/all/rp_filter überprüft werden. Wenn diese existiert, dann können<br />
die Regeln aktiviert werden.(Debian Users sollten diese Regeln in die Datei<br />
/etc/init.d/netbase eingeben.<br />
# Allgemeiner anti spoofing Schutz<br />
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then<br />
echo -n "Setting up IP spoofing protection..."<br />
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do<br />
echo 1 > $f<br />
done<br />
echo "done."<br />
else<br />
echo PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE WORRIED.<br />
echo "CONTROL-D will exit from this shell and continue system startup."<br />
echo<br />
# Start a single user shell on the console<br />
/sbin/sulogin $CONSOLE<br />
fi<br />
Falls dieses so nicht möglich ist, dann muß <strong>für</strong> jedes Interface eine eigene anti spoofing<br />
Regel aufgesetzt werden. Im Kernel von Linux <strong>2.2</strong> ist ein Schutz gegen Angriffe auf<br />
127.x.x.0, also im loopback interface, standardmäßig aktiviert.<br />
Angenommen, es existieren drei Interfaces eth0, eth1 <strong>und</strong> ippp0. ifconfig wird die<br />
Netzwerkadressen <strong>und</strong> Netzmasken anzeigen. Nun muß verhindert werden, daß Pakete<br />
mit falscher oder gefälschter Absende - Adresse am falschen Interface eintreffen. Diese<br />
müssen in der input chain gesperrt werden:<br />
# ipchains -A input -i eth0 -s ! 192.168.1.0/255.255.255.0 -j DENY<br />
# ipchains -A input -i ! eth0 -s 192.168.1.0/255.255.255.0 -j DENY<br />
# ipchains -A input -i eth1 -s ! 10.0.0.0/255.0.0.0 -j DENY<br />
# ipchains -A input -i ! eth1 -s 10.0.0.0/255.0.0.0 -j DENY<br />
#<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins