Hi all,
Ik draai een Raspberry Pi achter mijn Fritz!box, niet als een exposed host, en heb die van een firewall voorzien met als defaultactie drop. Nu speel ik met de gedachte om er een blocklist-filter aan toe te voegen, maar vraag me af of dat nut heeft. Alles wat niet welkom is wordt toch al weggegooid.
Wat vinden jullie?
Groet,
Paul
Dit heeft alleen zin als je op je Fritz!box poorten openzet. Je kunt dan bepalen of je bepaalde adressen of alle adressen jouw RaspberryPI kunnen benaderen via de firewall on de Raspberry.
De Frtiz!box laat alleen verkeer van buiten door wat jij heb geïnitieerd en wat een direct antwoord is of een gerelateerd antwoord. Dit heet “stateful” en mijn vertaling naar Nederlands is dan “herkend” verkeer.
Dank, mcfab en msatter,
Ik zat te denken aan DROP - Don't Route or Peer lists - The Spamhaus Project.
Mijn huidige input chain is
iifname "lo" accept
iifname != "lo" ip saddr 127.0.0.0 drop
ct state invalid drop
ct state established,related accept
tcp flags & (fin | syn) == fin | syn drop
tcp flags & (syn | rst) == syn | rst drop
udp sport domain ct state established accept
tcp sport domain ct state established accept
meta nfproto ipv4 tcp dport auth tcp flags & (fin | syn | rst | ack) == syn ct state new reject with icmp type host-prohibited
ip protocol icmp limit rate 1/second accept
ip protocol ipv6-icmp limit rate 1/second accept
Als Fritzbox inderdaad alleen stateful binnenlaat, heeft een blacklist niet veel zin.
Vriendelijke groet,
Paul