Ports in IPTables

[LinuxLover]

Hallo ich habe eine kleine frage: Welche Ports müssen für das Downloaden von Updates und anderen sachen offen sein und TCP oder UDP.

Danke schonmal für eure Antworten.

MfG LinuxLover

[TRex]

Keine eingehend (die Regel für die Antwortverbindungen musst du eh schon haben) und ausgehend, wie deine sources.list angebunden ist (http oder ftp).

[wanne]

Keine eingehend (die Regel für die Antwortverbindungen musst du eh schon haben) und ausgehend, wie deine sources.list angebunden ist (http oder ftp).

Dann kannst du gar nichts mehr runter laden.

Für updates über http:
Rein: 80 -> 32768-61000
Raus: 32768-61000 -> 80

Das range der Lokalen Ports, das genutzt wird ist nur per default 32768-61000.
Genaues steht in der Datei:
/proc/sys/net/ipv4/ip_local_port_range

Besonderheit sind Pakete, die ausschließlich ein Syn-Flag haben: Die gehen bei HTTP nicht rein. Nur raus. (Weswegen ganz gerne auf die gefiltert wird.)

[dufty2]

Keine eingehend (die Regel für die Antwortverbindungen musst du eh schon haben) und ausgehend, wie deine sources.list angebunden ist (http oder ftp).

Dann kannst du gar nichts mehr runter laden.

Für updates über http:
Rein: 80 -> 32768-61000
Raus: 32768-61000 -> 80

Nene, die lässt man nicht offen, es genügt
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[wanne]

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Was genau das gleiche macht wie ein Filtern auf Syns. (Mit dem unterschied, dass der Kernel auf komische Pakete mit ICMP Destination unreachable statt RST auf komische TCP-Flag Kombinationen reagiert.)
In beiden Fällen sind die Ports erstmal zu und gehen auf sobald der Cleient eine Anfrage stellt. (Bzw. in nmap-Speakt ist der Port in meinem Fall "closed" ind in deinem Fall "filtered".)

Der Zweite Punkt ist, dass -m state --state um ein Zigfaches ineffizienter ist als -m tcp --syn. Aber das dürfte bei den meisten Home Computern eh ziemlich egal sein, weil da DOS selten sind und sowieso der Heimrouter eh um längen vor dem eigentlcihen Gerät in die Knie Geht.

[uname]

Auf den meisten Systemen braucht man gar keine Firewall. Sichere alle von außen verfügbaren Anwendungen ordentlich ab. Das ist weit effektiver als Verbindungen zu verhindern, die mangels fehlender Anwendungen sowieso nicht aufgebaut werden können. Verzichte auf alles was du gar nicht brauchst (z.B. IPv6 falls nicht benötigt) Ich nutze kein iptables weder auf Clients noch Servern. Dafür sind jedoch alle Systeme recht minimal und alle benötigten Dienste (SSH, Apache2, ...) entsprechend meinen eigenen Sicherheitsanforderungen konfiguriert.

[TRex]

Ich denke, dass es bei einer Firewall (an einem von außen frei erreichbaren System, also nicht die Kiste hinterm Plastikrouter mit Portfreigabe) auch drauf ankommt, ungewollte Apps vom Netz fernzuhalten, zB ein Trojaner, der auf Port 6666 einen IRC-Server bereitstellt (und dann eben nicht funktionieren würde).

[wanne]

Ich denke, dass es bei einer Firewall (an einem von außen frei erreichbaren System, also nicht die Kiste hinterm Plastikrouter mit Portfreigabe) auch drauf ankommt, ungewollte Apps vom Netz fernzuhalten, zB ein Trojaner, der auf Port 6666 einen IRC-Server bereitstellt (und dann eben nicht funktionieren würde).

Das Szenario ist halt absoluter Quatsch. Kein Mensch ist so dumm und baut einen Trojaner, der bei 99% der ziele nicht tut weil er eingehende Verbindungen braucht aber keinen Holepunching algorithmus für solche Firewalls (die NAT ähneln) mitbringt. Deswegen benutzt der auch nicht einen IRC-Server sondern typischerweise halt http ausgehend auf port 80 oder wenn er etwas moderner ist SSL auf port 443. (Schon weil das einem im gegensatz zu nem hörenden Dienst nicht gleich anschreit, dass da was schifläuft.) Wenn du da was zu machst fängst Trojaner ab.


So eine Absicherung ist genau so sinnvoll, wie wenn man sich gegen Taschendiebe, die keine Arme haben absichert. Kann rein theoretisch schon sein, dass es das gibt. Aber verdammt unwahrscheinlich.

Btw: Mit sowas bist du wirklich effizient: Wenn du Nurnoch Verbindungen zu bestimmten Zielrechnern zulässt guckt der Trojaner mit ziemlicher Sicherheit in die Röhre. Mit sowas rechnet im Moment niemand und das ist auch nicht ganz so einfach zu umgehen wie irgendwelche Port filter, wo man halt im Zweifelsfall 0-65536 in je zwei richtungen durchprobieren muss bis man den einen Offenen Gefunden hat.

[TRex]

Wenn du Nurnoch Verbindungen zu bestimmten Zielrechnern zulässt

Kannst du das mit dem Internet auch gleich bleiben lassen

[wanne]

Ich habe hier halt ein SpieleOS, das bekommt halt regelmäßig updates und connected sich auf genau einen Spiele-Server und die Herstellerseiten von 2 Spielen.
Und ich denke da gibt's ein paar so ähnlcihe Systeme.