MSfree hat geschrieben:Wow, dafür habe ich in meinem Heimnetz einen einzigen iptables-Befehl auf meiner Firewall abgesetzt. Clients, die meinen, als DNS irgendetwas anderes als meine per DHCP verteilten zu verwenden, bekommen gar keine Namensauflösung mehr hin.
Na dann propier mal aus und geh dich wundern, wie iodine schlicht und einfach den von dir per DHCP verteilten DNS Server nutzt. Du wirst iodine nicht auf iptables-ebene blocken können, ohne dich aus sämtlichen anderen Webseiten auch rauszuwerfen. Genau so wenig wie die anderen Lösungen.
MSfree hat geschrieben:ROFL, nichts einfacher als die Dinger in der Firewall zu blockieren.
Wenn du das so cool kannst: Statt hier im Forum rumzuschreiben melde dich mal bei Ali Chamene’i. Der gibt dir garantiert ein paar Milliönchen für so eine Lösung. Der sucht nämlich schon seit einer ganzen weile nach so einer Lösung und bekommt es nicht auf die Reihe. Abr klar MSfree hat da keine Probleme. Der schüttelt das mal kurz aus dem Handgelenk. Als Anmerkung: Alle tunneln über HTTPS zu ständig wechselnden geheimen IPs. (Außer das über Facebook. Das nimmt die Server von Facebook. Was auch äußerst ungerne geblockt wird.)
MSfree hat geschrieben:Nein, das läuft out-of-the Box mit einem standard Linuxkernel.
Habe ich ja schon geschrieben:
wanne hat geschrieben:Mit pcap gibt es mittlerweile eine stabiele API für sowas im Stock-Kernel. Damit läuft das unter Debian vergleichswiese Problemlos.
Jana66 hat geschrieben:Also so wie ich deinen Text verstehe, meinst du, ICMP aus LAN -> WAN komplett freigeben - ausser redirect (5)?
Ja. Bei externen Firewalls bin ich ein Fan von Blacklisten. Am Ende schießt du dir mit Withelisten vor allem neuere Protokolle ab. (Und die sind meist sicherer als ihre Vorgänger.)
Bei schmalbandigen Verbindungen (<=10G) würde ich aber ein Ratelimiting rein machen. Sinnvolle ICMP in größeren Mengen gibt es nicht. Wenn irgend ein Gerät ammok läuft braucht es dir nicht die Leitung voll spammen.
Defakto sind heute die einzig relevanten 0/8, 3 und 11 und vielleicht noch 30. Alles andere wird von Clienten aus dem Jahrtausend eh ignoriert.
3 willst du auf jeden Fall haben. Ist aber im einem RELATED in den meisten Fällen schon mit drin. 0/8 und 11 finde ich sinnvoll.
In sofern kannst du da gar nicht so viel bewirken, wie es sich Anhört.
Wenn du historische Kisten schützen willst, blockst du 5 und 15-39. Daneben sind 9 und 10 noch unerwünscht. Die blockt der Linux-Kernel aber auch ohne expliziten iptables-Eintrag.
Interessanter ist dann ICMPv6. Da wird deutlich mehr über ICMP abgewickelt.