iptables fuer den Router

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Kiigass
Beiträge: 61
Registriert: 30.11.2012 10:58:05

iptables fuer den Router

Beitrag von Kiigass » 08.09.2017 12:30:52

Moin,

Hintergrund: ich habe einen Debian-Rechner als Router eingerichtet und dazu ein iptables-script geschrieben. Meine erste Version dazu hatte ich hier gestern abend schon gepostet, aber so im Nachhinein ist mir klar geworden, dass SuperUser keine Diskussionsplattform ist. Ich habe mein Script mittlerweile ein wenig ueberarbeitet (s.u.).

Verstaendnis: Vor dem Hintergrund, dass der Router einerseits selbst eine IP via DHCP von meinem ISP bezieht und andererseits IPs via DHCP im internen Netzwerk verteilt, wie muss ich das konfigurieren?

Zum DNS: Wenn ich das richtig verstanden habe, dann fragen die Lan-Client den Router (DNS-Server) und wenn der es nicht weiss, dann fragt der Router (DNS-Server) weitere externe DNS-Server. Das heisst aber auch, dass der Router ausgehende (OUTPUT) DNS Verbindungen braucht, aber die Lan-Client keine ausgehenden (FORWARD) DNS-Verbindungen brauchen. Ist das korrekt?

Zu cybernards Antwort bei SuperUser: Wenn ich das richtig verstehe, dann laesst seine Loesung in der FORWARD-Chain alle Verbindungen zu. Ich moechte das allerdings gerne beschraenken und meinen Lan-Clients nur bestimmte Verbindungen in die Aussenwelt erlauben.

So kurz wie moeglich formuliert ist mein Ziel:
  1. Vom Internet soll nichts reinkommen (keine NEW Verbindungen)
  2. Das interne Netz soll auf die vom Router bereitgestellten Services zugreifen koennen (DNS, DHCP, etc).
  3. Die Clients im internen Netz sollen auf bestimmte Dienste im Internet zugreifen koennen (HTTP(S), IMAP(S), etc).
Meine Fragen dazu:
  1. Erreiche ich die oben genannten Ziele mit diesem Script?
  2. Sind in dem Script noch (Sicherheits-)luecken?
  3. Kann man das Script noch besser formulieren, waehrend man gleichzeitig die oben genannten Ziele erfuellt?

Code: Alles auswählen

log() {
 echo "$(date '+%b %d %H:%M:%S') $(hostname) iptablesInit: $1"
 echo "$(date '+%b %d %H:%M:%S') $(hostname) iptablesInit: $1" >> /var/log/iptablesInit.log
}

IPT="/sbin/iptables"
#WAN="enx00e04c130407"
#LAN="enxb827eb345407"
#WLAN="wlan0"

WAN="WAN"
LAN="LAN"
WLAN="WLAN"

# Flush all chaines
log 'Flush everything...'
$IPT -F
$IPT -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t nat -F
$IPT -t nat -X

$IPT -F INPUT
$IPT -F FORWARD
$IPT -F OUTPUT
log 'Flush done'

# unlimited
$IPT -A INPUT  -i lo      -j ACCEPT
$IPT -A OUTPUT -o lo      -j ACCEPT
$IPT -A OUTPUT -o ${LAN}  -j ACCEPT
$IPT -A OUTPUT -o ${WLAN} -j ACCEPT

# set policies
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# NAT
$IPT -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

#===== BLOCK =====
# Block sync
$IPT -A INPUT -i ${WAN} -p tcp ! --syn -m state --state NEW  -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Drop Sync"
$IPT -A INPUT -i ${WAN} -p tcp ! --syn -m state --state NEW -j DROP
 
# Block Fragments
$IPT -A INPUT -i ${WAN} -f  -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fragments Packets"
$IPT -A INPUT -i ${WAN} -f -j DROP
 
# Block bad stuff
$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags ALL ALL -j DROP

$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "NULL Packets"
$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags ALL NONE -j DROP # NULL packets

$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "XMAS Packets"
$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #XMAS

$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fin Packets Scan"
$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags FIN,ACK FIN -j DROP # FIN packet scans

$IPT  -A INPUT -i ${WAN} -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# Block CUPS WAN access
$IPT -A OUTPUT -o ${WAN} -p tcp --dport 631 -j REJECT
$IPT -A OUTPUT -o ${WAN} -p udp --dport 631 -j REJECT

#===== ALLOW =====
# Allow outgoing DNS requests
$IPT -A OUTPUT -o ${WAN} -p tcp -m multiport --dport 53,953 -j ACCEPT
$IPT -A OUTPUT -o ${WAN} -p udp              --dport 53     -j ACCEPT

# Allow outgoing HTTP(s) for package updates
$IPT -A OUTPUT -o ${WAN} -p tcp -m multiport --dport 80,443 -j ACCEPT
$IPT -A OUTPUT -o ${WAN} -p udp -m multiport --dport 80,443 -j ACCEPT

# Accept established connections
$IPT -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 
# Allow ssh 
$IPT -A INPUT -i ${LAN}  -p tcp --dport 22 -j ACCEPT

# allow ICMP ping pong stuff
$IPT -A INPUT  -i ${LAN}  -p icmp -j ACCEPT
$IPT -A INPUT  -i ${WLAN} -p icmp -j ACCEPT

# Allow port 53 tcp/udp (DNS Server)
$IPT -A INPUT -i ${LAN}  -p tcp -m multiport --dport 53,953 -j ACCEPT
$IPT -A INPUT -i ${LAN}  -p udp              --dport 53     -j ACCEPT

$IPT -A INPUT -i ${WLAN} -p tcp -m multiport --dport 53,953 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p udp              --dport 53     -j ACCEPT

# Proxy
$IPT -A INPUT -i ${LAN}  -p tcp --dport 3128 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p tcp --dport 3128 -j ACCEPT

#DHCP
$IPT -A INPUT -i ${LAN}  -p udp -m multiport --dport 67,68 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p udp -m multiport --dport 67,68 -j ACCEPT

# Open port 631 for CUPS/Printing
$IPT -A INPUT -i ${LAN}  -p tcp --dport 631 -j ACCEPT
$IPT -A INPUT -i ${LAN}  -p udp --dport 631 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p tcp --dport 631 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p udp --dport 631 -j ACCEPT

# Samba
$IPT -A INPUT -i ${LAN}  -p tcp -m multiport --dport 139,445 -j ACCEPT
$IPT -A INPUT -i ${LAN}  -p udp -m multiport --dport 137,138 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p tcp -m multiport --dport 139,445 -j ACCEPT
$IPT -A INPUT -i ${WLAN} -p udp -m multiport --dport 137,138 -j ACCEPT

#===== FORWARD =====
#iptles -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#ipbles -A FORWARD -i wlan0 -o eth0 -j ACCEPT

#LAN <-> WLAN forwarding

# HTTP(s)
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p tcp -m multiport --dport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p udp -m multiport --dport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${LAN} -o ${WAN} -p tcp -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${LAN} -o ${WAN} -p udp -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p tcp -m multiport --dport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p udp -m multiport --dport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p tcp -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p udp -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# IMAP(s)
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p tcp -m multiport --dport 143,993 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p udp -m multiport --dport 143,993 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${LAN} -o ${WAN} -p tcp -m multiport --dport 143,993 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${LAN} -o ${WAN} -p udp -m multiport --dport 143,993 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p tcp -m multiport --dport 143,993 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p udp -m multiport --dport 143,993 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p tcp -m multiport --dport 143,993 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p udp -m multiport --dport 143,993 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# SMTP
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p tcp --dport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p udp --dport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${LAN} -o ${WAN} -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${LAN} -o ${WAN} -p udp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p tcp --dport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p udp --dport 25 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p udp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# NTP
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p udp --dport 123 -m state --state ESTABLISHED,RELATED  -j ACCEPT
$IPT -A FORWARD -i ${LAN} -o ${WAN} -p udp --dport 123 -m state --state NEW,ESTABLISHED,RELATED  -j ACCEPT

$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p udp --dport 123 -m state --state ESTABLISHED,RELATED  -j ACCEPT 
$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p udp --dport 123 -m state --state NEW,ESTABLISHED,RELATED  -j ACCEPT 
# WhatsApp
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p tcp --dport 5222 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${LAN} -o ${WAN} -p tcp --dport 5222 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i ${WAN} -o ${WLAN} -p tcp --dport 5222 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WLAN} -o ${WAN} -p tcp --dport 5222 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Reject (W)LAN Traffic rather than drop
$IPT -A INPUT   -i ${LAN}  -j REJECT --reject-with icmp-host-prohibited
$IPT -A INPUT   -i ${WLAN} -j REJECT --reject-with icmp-host-prohibited
$IPT -A FORWARD -i ${LAN}  -j REJECT --reject-with icmp-host-prohibited
$IPT -A FORWARD -i ${WLAN} -j REJECT --reject-with icmp-host-prohibited
$IPT -A OUTPUT             -j REJECT --reject-with icmp-host-prohibited

exit 0
Vielen Dank fuer eure Gedanken dazu :D

Jana66
Beiträge: 3900
Registriert: 03.02.2016 12:41:11

Re: iptables fuer den Router

Beitrag von Jana66 » 08.09.2017 16:46:02

Kiigass hat geschrieben: ↑ zum Beitrag ↑
08.09.2017 12:30:52
Zum DNS: Wenn ich das richtig verstanden habe, dann fragen die Lan-Client den Router (DNS-Server) und wenn der es nicht weiss, dann fragt der Router (DNS-Server) weitere externe DNS-Server. Das heisst aber auch, dass der Router ausgehende (OUTPUT) DNS Verbindungen braucht, aber die Lan-Client keine ausgehenden (FORWARD) DNS-Verbindungen brauchen. Ist das korrekt?
Ja. Den Router-DNS-Server nennt man auch Resolver. Z. B. Debiandnsmasq. Debianbind9 arbeitet rekursiv, fragt Root-Server und mit deren Auskünften untergeordnete Server an. Den DNS- Clients im LAN muss man den anzufragenden internen DNS natürlich mitteilen, z. B. per DHCP. Debiandnsmasq ist vielseitig und ausreichend (DHCP-+DNS).

Ueber NTP solltest du dir übrigens auch Gedanken machen. Mit Standardeinstellung wollen alle Clients raus. :wink:
Kiigass hat geschrieben: ↑ zum Beitrag ↑
08.09.2017 12:30:52
Vor dem Hintergrund, dass der Router einerseits selbst eine IP via DHCP von meinem ISP bezieht und andererseits IPs via DHCP im internen Netzwerk verteilt, wie muss ich das konfigurieren?
Indem du die entsprechenden Dienste installierst und konfigurierst. WAN-IF als DHCP-Client, auf dem oder den LAN-Interfaces DHCP-Server. In den Tuts findest du dazu viel.
https://gridscale.io/community/tutorial ... 10minuten/
https://wiki.ubuntuusers.de/Router/
http://kohnlehome.de/linux/debian-router.pdf
Erreiche ich die oben genannten Ziele mit diesem Script?
IP-Tables tue ich mir nicht an. Folgende Hinweise jedoch:
Zu iptables-Anfragen kommen im Forum erfahrungsgemäß wenige bis keine Antworten. Die meisten sind wohl mit Fritzbuechsen oder PFSense oder DDWrt/OpenWrt/LEDE-Routern gut bedient. :wink:
Mit PAT/NAT sind erst mal nur Verbindungen LAN -> WAN möglich. Umgekehrt initiert nicht. Achtung bei Diensten auf der FW: DNS, NTP.
Scannen von aussen mit Debiannmap / Debianzenmap schadet nicht.
BitTorrent / Debiandeluge und ICMP, UDP/traceroute oben vergessen?
Es gibt für iptables Frontends: https://wiki.debian.org/Firewalls
Neu ab Stretch: Debiannftables
http://www.pro-linux.de/news/1/24720/de ... ables.html
Des Weiteren gibt es fertige OSS Firewall-Router-Distributionen für x86_64-Hardware: PFSense, OPNSense, IPCop, IPFire, OpenWrt/LEDE. Die ersten beiden beruhen auf BSD, die anderen auf Linux.
Sind in dem Script noch (Sicherheits-)luecken?
Mit Sicherheit. :mrgreen:
Es gibt so viele Angriffsszenarien. Mit Malware oder Spoofing oder DOS auch vom LAN aus. Oder vom WLAN (Rogue APs etc.). Ich pflege meine Paranoia gerade hier:
http://www.omnisecu.com/ccna-security/index.php
https://www.cisco.com/c/en/us/support/d ... 08-21.html
https://de.m.wikipedia.org/wiki/WLAN-Sniffer
Und verschlüsselten Traffic (https, IMAPS, ... ) kann deine FW allein nicht untersuchen. Stichwort DPI oder Next-Generation oder UTM-Firewalls. Wobei die bei Ransomware kläglich oder besser prinzipbedingt versagt haben: Was der Bauer nicht kennt ... :wink:
https://www.heise.de/newsticker/meldung ... 13502.html
Nur bekannten und erwünschten Traffic (auch von innen initiiert) zulassen / default deny, Hosts sauber halten. Updates und möglichst keine Windows-Hosts und Nutzer schulen. In Estland kam Ransomware jedoch mit Updates einer Software.

Persönliche Meinung:
Eine übersichtliche Firewall-Konfiguration (evtl. mittels GUI) erscheint mir sicherer als irgendwas kryptisches. Bilde mal mit iptables mehrere Sicherheitszonen: WAN, LAN, DMZ, WLAN Trusted, WLAN Guest, Serverzone. Mit oder ohne Frontend? Mit oder ohne stateful packet inspection? :wink:
https://de.m.wikipedia.org/wiki/Statefu ... Inspection
Gibt recht gute, professionelle Frontends, z. B. Debianshorewall. Link oben. An der Netzwerk-Konfiguration und den -Diensten ändert man selten, Frontend eher unnötig. Kannst du deine Installation selber härten? Wenn nicht, fertige, bewährte, spezielle Distribution von Experten erstellt, nutzen.

Google nach den Manuals entsprechender Pakete, Stichworte.

Edit.
M. E. sind iptables ohne Frontend eher geeignet, einen öffentlich erreichbaren Server abzusichern. Einmalige Handlung, wenige Dienste, Übersicht bewahrt. M. E. bin ich jedoch nicht der Liebe Gott. :wink:
Zuletzt geändert von Jana66 am 09.09.2017 10:01:12, insgesamt 3-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: iptables fuer den Router

Beitrag von Cae » 09.09.2017 00:22:21

Ich hab' mal in Kurzform reinkommentiert, was mir dazu einfaellt. ### bezeichnet meine Kommentare, sie beziehen sich jeweils auf den Abschnitt davor.
Kiigass hat geschrieben: ↑ zum Beitrag ↑
08.09.2017 12:30:52

Code: Alles auswählen

 echo "$(date '+%b %d %H:%M:%S') $(hostname) iptablesInit: $1"
 echo "$(date '+%b %d %H:%M:%S') $(hostname) iptablesInit: $1" >> /var/log/iptablesInit.log
### tee(1)

$IPT -A INPUT -i ${WAN} -p tcp ! --syn -m state --state NEW  -m limit --limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Drop Sync"
$IPT -A INPUT -i ${WAN} -p tcp ! --syn -m state --state NEW -j DROP
### (alle) TCP-Flag-Regeln sinnvoll? Kaputtes TCP sollte am NAT scheitern
### log-Regeln sinnvoll? spammen einem bestenfalls die Kiste zu

# Block CUPS WAN access
$IPT -A OUTPUT -o ${WAN} -p tcp --dport 631 -j REJECT
$IPT -A OUTPUT -o ${WAN} -p udp --dport 631 -j REJECT
### "der Router darf nicht auf externen Druckern drucken" -- wozu? Denkfehler?

$IPT -A OUTPUT -o ${WAN} -p tcp -m multiport --dport 53,953 -j ACCEPT
### 953 ist kein "normaler" DNS-Kanal, sondern ein Kontrollport, evtl. fuer Zonentransfers etc.

# Allow outgoing HTTP(s) for package updates
$IPT -A OUTPUT -o ${WAN} -p tcp -m multiport --dport 80,443 -j ACCEPT
$IPT -A OUTPUT -o ${WAN} -p udp -m multiport --dport 80,443 -j ACCEPT
### evtl. eher lokalen apt-cache-ng installieren und nur -m owner --uid-owner apt-cacher-ng erlauben
### wuerde generisches phoning home von einer Backdoor einschraenken (jedoch wenn root -> verloren)

$IPT -A INPUT -i ${LAN} -p tcp -m multiport --dport 53,953 -j ACCEPT
### 953/tcp, s.o. Ausserdem: bist du ueberhaupt ein DNS-Server?

#DHCP
$IPT -A INPUT -i ${LAN}  -p udp -m multiport --dport 67,68 -j ACCEPT
### ungenau: Du bist Server, also --sport 68 --dport 67 -j ACCEPT (OUTPUT fehlt noch)

#===== FORWARD =====
#iptles -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#ipbles -A FORWARD -i wlan0 -o eth0 -j ACCEPT

#LAN <-> WLAN forwarding

# HTTP(s)
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p tcp -m multiport --dport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -o ${LAN} -p udp -m multiport --dport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
### HTTP over UDP? Wohl kaum.
### ausserdem: Chaos. LAN->WAN, WLAN->WAN, ist okay WAN->LAN, WAN->WLAN dagegen nicht. Diese ganzen
### komischen Regeln bekommst du mit
### -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
### -A FORWARD -o $WAN -m state --state NEW -p tcp --dport 80 -j ACCEPT
### -A FORWARD -o $WAN -m state --state NEW -p tcp --dport 443 -j ACCEPT
### usw. erschlagen. (-i ist egal, wenn "alles was nicht WAN ist" raus darf)
Die DHCP-Regel fuer $WAN ist die invertierte Form von meiner oben angegebenen Korrektur fuer -i $LAN.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Kiigass
Beiträge: 61
Registriert: 30.11.2012 10:58:05

Re: iptables fuer den Router

Beitrag von Kiigass » 10.09.2017 11:21:05

Wow, vielen Dank erstmal fuer die ausfuehrlichen Antworten! Einen Teil der direkten Ansaetze habe ich schon umgesetzt. Die Tipps von Cae (z.B. bezueglich der FORWARD-Regeln) halbieren den Regelsatz und tragen damit wesentlich zur Uebersicht bei. Ich lese mich gerade auch in nftables ein, wie von Jana vorgeschlagen. Ich melde mich wieder, ihr habt mir ja erstmal ordentlich was zu tun gegeben ;) danke nochmal!

Antworten