Firewall: Ports Programmspezifisch öffnen lassen

Frank Matthieß Frank at matthiess.de
Son Jan 12 13:25:42 CET 2003


Sonntag den 12.01.2003 um 13:08 CET  +0100, schrieb Martin Jäger:
> Hi,
> ich habe hier nach wie vor noch meine SuSE8.0 am laufen. Mein Problem ist die 
> enthaltene Personal Firewall. Ich hab sie aktiviert und bis auf die 
> benötigten Ports alles geschlossen. Leider weis ich nicht, ob es möglich ist, 
> sie so zu konfigurieren, dass sie mit den Dateisende- und empfangsfunktionen 
> von ICQ und IRC zurechtkommt. Das Problem bei der Sache ist, dass die zum 
> Dateitransfer benutzten Ports jedesmal schwanken. 
> Die Frage lautet nun, ob es möglich ist die iptables (oder was Suse da nutzt) 
> mit einzelnen Programnamen zu versorgen (al la Windows Zone Alarm) und so 
> dynamisch Ports öffnen zu lassen, denn ich möchte nicht die ganze Zeit 10.000 
> Ports offen lassen müssen. 

Geht nur mit iptables sinnvoll, da diese auf netfilter basiert und eine
"stateful inspection" macht, soll heißen die weis[1] was als nächstes
passieren muss.

"iptables -t filter -A if_dmz_fw -m state --state ESTABLISHED,RELATED -j ACCEPT"

Diese Zeile akteptiert alle Packete von bereits laufenden Verbindungen
,bzw. damit in beziehnungsteheden Verbindungen(ftp).

[1] Dafür gibt es entsprechende ipt modules z.B.: ftp. Ob es für ICQ und
    IRC Module gibt weis ich nicht.

Frank.
-- 
Frank at Home                                                   Frank at Matthiess.de

"Der Unterschied zwischen Debian unstable und SuSE ist, daß Debian
trotzdem funktioniert." Robin Socha in de.comp.os.unix.linux.misc

-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein