6
Linux ausgehende Pakete ermitteln oder blockieren
Hallo,
ich habe zu Hause eine Diskstation von Synology. Diese hier: http://www.synology.de/products/product.php?product_name=DS1813%2B& ...
Ich bin schon recht fit darin und tauche schon in das zu Grunde liegende Linux ab. Da ich immer sehr auf Sicherheit bedacht bin, habe ich die Firewall per Synology Software konfiguriert, aber ich glaube, dass die nur eingehende Ports behandelt. Ausgehend macht die glaube ich nicht.
Also möchte ich gerne wissen, wie ich ausgehende Ports schließen kann?
Gruß,
mexx
ich habe zu Hause eine Diskstation von Synology. Diese hier: http://www.synology.de/products/product.php?product_name=DS1813%2B& ...
Ich bin schon recht fit darin und tauche schon in das zu Grunde liegende Linux ab. Da ich immer sehr auf Sicherheit bedacht bin, habe ich die Firewall per Synology Software konfiguriert, aber ich glaube, dass die nur eingehende Ports behandelt. Ausgehend macht die glaube ich nicht.
Also möchte ich gerne wissen, wie ich ausgehende Ports schließen kann?
Gruß,
mexx
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218675
Url: https://administrator.de/forum/linux-ausgehende-pakete-ermitteln-oder-blockieren-218675.html
Ausgedruckt am: 12.04.2025 um 03:04 Uhr
6 Kommentare
Neuester Kommentar
iptables ist das Stichwort, daß du suchst.
Allerdings solltest Du aufpassen, das Du der "Firewall" von Synology dazwischenfunkst, weil die vermutlich auch iptables-regeln anlegt.
lks
zu iptables gibt es sehr viel im netz. hast du ein leicht zu verstehendes tutorial?
Zitat von @mexx:
zu iptables gibt es sehr viel im netz. hast du ein leicht zu verstehendes tutorial?
zu iptables gibt es sehr viel im netz. hast du ein leicht zu verstehendes tutorial?
So zum einfach mal schnell durchschauen z.B. https://help.ubuntu.com/community/IptablesHowTo
einfach nach iptables und howto suchen.
Oder Du nimmst sowas wie den fwbuilder, der Dir aus einfachen, mit einer GUIs erstellten FW-Regeln iptables-Skripten bastelt und automartisch installiert. ist zwar suboptimal, aber dafür auch für einsteiger relativ leicht zu bedienen.
lks
okay, verstanden. Ich nerv Dich trotzdem mal weiter. :D
1. Frage: Wie erfolgt die Abarbeitung der Regeln? Zeile für Zeile?
Wäre ich theoretisch in der Lage eine Regeln hinzufügen, welche in der ersten Zeile ein Drop anywhere bei source und destination drin hat und in den darauffolgenden Zeilen die accepts für protokolle, welche ich zulassen möchte?
2. Frage: In dem Link sieht man, dass das result für iptables -L immer den Titel Chain INPUT trägt. Bedeutet das, dass es für Output und Input unterschiedliche Tables gibt?
1. Frage: Wie erfolgt die Abarbeitung der Regeln? Zeile für Zeile?
Wäre ich theoretisch in der Lage eine Regeln hinzufügen, welche in der ersten Zeile ein Drop anywhere bei source und destination drin hat und in den darauffolgenden Zeilen die accepts für protokolle, welche ich zulassen möchte?
2. Frage: In dem Link sieht man, dass das result für iptables -L immer den Titel Chain INPUT trägt. Bedeutet das, dass es für Output und Input unterschiedliche Tables gibt?
Zitat von @mexx:
okay, verstanden. Ich nerv Dich trotzdem mal weiter. :D
1. Frage: Wie erfolgt die Abarbeitung der Regeln? Zeile für Zeile?
Wäre ich theoretisch in der Lage eine Regeln hinzufügen, welche in der ersten Zeile ein Drop anywhere bei source und
destination drin hat und in den darauffolgenden Zeilen die accepts für protokolle, welche ich zulassen möchte?
okay, verstanden. Ich nerv Dich trotzdem mal weiter. :D
1. Frage: Wie erfolgt die Abarbeitung der Regeln? Zeile für Zeile?
Wäre ich theoretisch in der Lage eine Regeln hinzufügen, welche in der ersten Zeile ein Drop anywhere bei source und
destination drin hat und in den darauffolgenden Zeilen die accepts für protokolle, welche ich zulassen möchte?
Ja, aber üblicherweise wird die Liste so lange abgearbeitet, bis die erste regel greift. d.h. dann würde alles gedropt.
Man macht es eher andersherum: letzte Regel/default dropt alles und dann fügt man die Regeln ein, die wieder etwas erlauben.
2. Frage: In dem Link sieht man, dass das result für iptables -L immer den Titel Chain INPUT trägt. Bedeutet das, dass
es für Output und Input unterschiedliche Tables gibt?
es für Output und Input unterschiedliche Tables gibt?
Die Standard-Chains sind Input, output und Forward, jede mit Ihrem eigenen Regelsatz. Man kann selbst noch beliebige Chains hinzufügen, um komplexere Regeln zu implementieren.
lks
Ich habe mir die iptables angeschaut und hier mal einen kleinen Ausschnitt mitgebracht.
ACCEPT tcp -- PC01.fritz.box anywhere tcp: dpt:ssh
ACCEPT tcp -- PC01.fritz.box anywhere tcp: dpt:5001
DROP tcp -- anywhere anywhere
Diese gekürzte Folge bedeutet, dass SSH und HTTPS von PC01.fritz.box akzeptiert wird und die letzte Zeile bedeutet, dass der Rest gedropt wird. Im Block Output steht bei mir nichts drin. Würde ich den Block mit den gleichen Regeln füllen, würden auch die ausgehenden Verbindungen nur noch SSH und HTTPS zulassen? Sehe ich das richtig?
Bestünde in der von mir gedachten Konfiguration ein Fehler?
ACCEPT tcp -- PC01.fritz.box anywhere tcp: dpt:ssh
ACCEPT tcp -- PC01.fritz.box anywhere tcp: dpt:5001
DROP tcp -- anywhere anywhere
Diese gekürzte Folge bedeutet, dass SSH und HTTPS von PC01.fritz.box akzeptiert wird und die letzte Zeile bedeutet, dass der Rest gedropt wird. Im Block Output steht bei mir nichts drin. Würde ich den Block mit den gleichen Regeln füllen, würden auch die ausgehenden Verbindungen nur noch SSH und HTTPS zulassen? Sehe ich das richtig?
Bestünde in der von mir gedachten Konfiguration ein Fehler?
