Bis zur Fertigstellung des Buches verwendete SuSE /sbin/init.d als Pfad für die Init-Scripte (bis einschließlich SuSE Linux 7.0). Seit SuSE 7.1 finden sich die Init-Scripte in /etc/init.d.

• 2 = Multiuser ohne Netzwerk (vorher: Netzwerk ohne X11)
• 3 = Multiuser mit Netzwerk (vorher: Netzwerk + X11)
• 5 = Multiuser, Netzwerk, X11-Oberfläche (neu)

Es empfiehlt sich insbesondere bei Updates - nicht nur von SuSE bis 7.0 auf höhere Versionen -immer zu prüfen, ob die Firewallscripte auch tatsächlich beim Systemstart schon ausgeführt werden. Ein einfaches iptables -nvL zeigt, ob und welche Regeln gesetzt wurden.

/usr/src/linux/Documentation/networking/ip-sysctl.txt, dort nach "icmp_" suchen.

Tip:

echo "5" > /proc/sys/net/ipv4/icmp_ratelimit

tut es erstmal, wer möchte, kann sich den Parameter icmp_ratemask in der Doku genauer vornehmen, er besitzt aber eine brauchbare Defaulteinstellung.

/proc/sys/net/ipv4/conf/ppp0/rp_filter : no such file or directory

Die Scripte kann man hier so abändern, daß nicht einzelne Devices wie ppp0, sondern "default" (und/oder "all") gesetzt wird. Dann muß das Interface zum Zeitpunkt des Scriptstartes nicht existieren:

echo "1" > /proc/sys/net/ipv4/conf/{all,default}/rp_filter

Die Skizze ist leider ziemlich falsch. Generell nummerieren beide Seiten unabhängig von einander die Sequenzen. Ein ACK ist dann die letzte Sequenznummer der Gegenseite +1.

Das Verbindungsende ist in der Zeichnung auch falsch. Das Ende wird eingeleitet mit einem FIN-Flag. Die Bestätigung des FIN-Flags ist ein normales ACK-Paket (ohne gesetztes FIN-Flag), das einfach das Paket mit dem FIN-Flag bestätigt.

In der Gegenrichtung funktioniert das ebenso. Ein Paket mit gesetztem FIN-Flag wird ebenfalls mit einem normalen ACK (ohne FIN) bestätigt. Verkompliziert wird das durch den Umstand, daß der Server etwa auf ein FIN-Flag vom Client im nächsten Paket dieses mit ACK bestätigt und gleichzeitig ein FIN setzt (ebenfalls Einleitung Verbindungsende). Damit sind dann nur 3 Pakete statt 4 zum vollständigen Verbindungsende erforderlich.

iptables -A INPUT -p TCP --tcp-flags SYN,ACK ACK ...

--source-ports
--destination-ports
--ports

iptables -I INPUT 1 -j DROP
iptables -I FORWARD 1 -j DROP
iptables -I OUTPUT 1 -j DROP

Im Buch steht bei FORWARD und OUTPUT ein -P für Default Policy. (Dank an Samuel Kerschbaumer für den Hinweis).

$IPTABLES -A INPUT -p TCP --dport $p_high \
          -s $mail --sport pop3 ! --syn -j ACCEPT

/etc/init.d/rc2.d/S06fw_surfer
/etc/init.d/rc3.d/S06fw_surfer
/etc/init.d/rc5.d/S06fw_surfer

Auf jeden Fall ab SuSE 7.1 den Runlevel 5 nicht vergessen, bei anderen Distributionen entsprechend anpassen.

Fast alle Scripte enthalten weit vorne eine Regel, die eingehenden Verbindungsaufbau generell ablehnt:

Soll die ident-Abfrage (eingehende Verbindung) wie vorgeschlagen am Ende des Scriptes rejected werden, muß entweder die REJECT-Regel vor der INPUT-Regel mit --state NEW,INVALID stehen, oder man streicht die Regel ganz (nicht erlaubte Pakete werden ja sowieso am Ende über die Ausputzerregel abgefangen).

set DMZ = eth0

Im Text steht eth1:0

$IPTABLES -t nat -A PREROUTING -i $EXT  \
  -p TCP --sport $p_high --dport http \
-j DNAT --to-destination $httpsrv

$IPTABLES -t nat -A PREROUTING -i $INT \
  -p TCP --sport $p_high --dport 80 \
-j DNAT --to-destination ${squidsrv}:3128

Natürlich stimmt auch der Kommentar in der Überschrift nicht: das Beispiel hat nichts mit FTP zu tun.

• Seite 436: Parameter AllowHosts ist nur bei ssh gültig, openssh kennt den Parameter nicht.

[BSI99] Bundesamt für Sicherheit in der Informationstechnik, Herausgeber. IT-Grundschutzhandbuch, Band 3. Bundesanzeiger Verlag, Bonn, 1999