Door Anoniem: Door Anoniem: Door Anoniem: Voeg aan je firewall een DROP statement toe aan alles wat je niet wilt.
Dat is toch wel één van de foutere antwoorden die ik hier had verwacht.
Je antwoord had natuurlijk moeten zijn, DROP alles en ALLOW alleen het verkeer wat je toe wilt staan.
Zowel inkomend als uitgaand.
Potato, potatoe, same thing. Lost in language.
Onjuist. Te vaak heb ik initialisatiescripts voor iptables gezien met daarin een aantal DROP of REJECT statements, zonder dat de
default policy was aangepast, en zonder dat de lijst eindigde met "DROP de rest". Da's blacklisten en vaak niet effectief voor een doortastende aanvaller, vooal niet als deze via een e-mail bijlage van binnenuit verbindingen naar buiten wil maken (bijv. met een C&C server).
De meeste packet-based-firewalls hebben een lijst van regels (zowel voor input als voor output, en mogelijk ook voor forward) die ze tegen elk netwerkpakketje aanhouden. Bij een match wordt die regel uitgevoerd en is de firewall klaar. Als een regel niet matcht wordt de volgende regel geprobeerd, totdat alle regels zijn afgehandeld. Als er geen match was, bepaalt de default policy wat er met het pakketje gebeurt. Voor iptables/netfilter (en, als ik me niet vergis, ook voor pf) is dat ALLOW - met andere woorden: verwerk het pakketje alsof er geen firewall bestond.
De vermoedelijke reden dat dit zo vaak fout gaat is dat configureerders niet goed snappen hoe packet-based firewall rules werken (dat is, toegegeven, ook best lastig). Voor je het weet heb je geen verbinding omdat
retourpakketjes worden geblokkeerd. En als je remote werkt (bijv. via ssh) kan het uitvoeren van 1 DROP regeltje ervoor zorgen dat je in de auto moet stappen en op locatie de boel moet fixen... (eerst op een lokaal systeem testen dus).
Zie bijv.
https://www.openbsd.org/faq/pf/filter.html#defdeny en
http://linux-training.be/networking/ch14.html#idp69772096.