IPTABLES

[Deluxa]

Wie konfiguriere ich die Firewall auf Debian?
Wer kann mir weiterhelfen?

[Bert]

Ich habs verschoben.

Hast Du schon die Suche hier im Forum entdeckt? Zu dem Thema gibts zig Threads und auch fertige Scripts hier.

[Operations]

Hallo Deluxa,

(1) Forumssuche mit dem Stichwort "iptables"
(2) http://www.linux-user.de/ausgabe/2002/0 ... all-4.html als Einstieg zum Aufbau einer Firewall


MFG

Operations

[Deluxa]

Danke!

[Deluxa]

Womit rufe ich die Konfiguration von der Firewall auf?
Wie muß ich die Firewall setzen wen ich will das alle Ports die von außen reingehn zu sind aber die mit denen ich raus muß(INternet,licq usw.) offen sind?Welche Ports muß ich alle zumachen umj den absoluten Schutz vor außen zu haben(Hacker,Viren usw.)?
Wer kann mir da helfen und mir die Befehle dafür sagen?

[Operations]

Hallo Deluxa,

du kannst alle iptables Regeln in eine Datei schreiben. Dann diese Datei ausführbar machen und sie anschließend nach /etc/init.d verfrachten. Und sie von dort aus in einen Runlevel verlinken (dafür gibts es mehrere Möglichkeiten/Programme) der beim Systemstart abgearbeitet wird. Ebenso kannst du die Datei auch sofort ausführen um die Regeln wirksam werden zu lassen. Mittels eines

Code: Alles auswählen

iptables -L

in der Konsole/xterm (als root) kannst du überprüfen, ob die Regeln wirksam sind.

ACHTUNG
Um die Firewall (iptables) des Kernels (2.4.x und neuer) nutzen zu können, müssen die notwendigen Kernelmodule als Module vorhanden und geladen sein, bzw. fest in den Kernel einkompiliert sein (so wie ich es habe).

Hier meine Firewallkonfig.

Code: Alles auswählen

#! /bin/sh

#Firewallskript

#alte Regeln löschen
iptables -F

#Default Policy auf DROP setzen

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Verbindungsüberwachung einschalten
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#lokale Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#DNS Abfragen zulassen
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -p tcp --sport 53 --dport 1024: -j ACCEPT

#HTTP zulassen
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 81 -j ACCEPT
iptables -A INPUT -p tcp --sport 81 --dport 1024: -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --sport 8080 --dport 1024: -j ACCEPT

iptables -A OUTPUT -p tcp --sport 1024: --dport 8081 -j ACCEPT
iptables -A INPUT -p tcp --sport 8081 --dport 1024: -j ACCEPT

#HTTPS zulassen
iptables -A OUTPUT -p tcp --sport 1024: --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 --dport 1024: -j ACCEPT

#FTP zulassen
iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 --dport 1024: -j ACCEPT

#SMTP zulassen
iptables -A OUTPUT -p tcp --sport 1024: --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 --dport 1024: -j ACCEPT

#POP3 zulassen
iptables -A OUTPUT -p tcp --sport 1024: --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 --dport 1024: -j ACCEPT

#POP3 über SSL
iptables -A OUTPUT -p tcp --sport 1024: --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --sport 995 --dport 1024: -j ACCEPT

#NTP zulassen
iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 --dport 123 -j ACCEPT

#ICMP Ping zulassen
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

#ICMP weitere zulassen 1
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

#ICMP weitere zulassen 2
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT

iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT

#weitere Ports blocken
iptables -A INPUT -p UDP --dport 1: -j DROP
iptables -A INPUT -p TCP --dport 1: -j DROP

#restliche eingehende und ausgehende Pakete loggen
iptables -A INPUT -j LOG --log-prefix "firewall-in"
iptables -A OUTPUT -j LOG --log-prefix "firewall-out"

#restliche eingehende Pakete blocken
iptables -A INPUT -j DROP

#restliche ausgehende Pakete blocken
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -j REJECT
iptables -A OUTPUT -j DROP

Wichtig ist das "#! /bin/sh" in der ersten Zeile. Hiermit wird dem System klar gemacht, das es ein (Bash)Script ist.

Das ganze Script habe ich nach dem Vorbild des erwähnten Linux User Artikels und nach meinen eigenen Ideen und Anforderungen erstellt.


MFG

Operations

[tylerD]

Welche Ports muß ich alle zumachen umj den absoluten Schutz vor außen zu haben(Hacker,Viren usw.)?

alle

cu

[Deluxa]

Und mit welchen Befehlen mache ich das in der Konsole?Bitte mal ausführlich, ich habe sowas noch nicht gemacht!

[tylerD]

Und mit welchen Befehlen mache ich das in der Konsole?Bitte mal ausführlich, ich habe sowas noch nicht gemacht!

Es steht alles hier.... und alle vor dir, die das noch nie gemacht haben, haben das mit der Hilfestellung geschaft, obwohl sie kein Root waren, der das durfte. Fang doch einfach mal an zu lesen.

cu

[Operations]

Hallo Deluxa,

Welche Ports muß ich alle zumachen umj den absoluten Schutz vor außen zu haben(Hacker,Viren usw.)?

alle

cu

Dann mußt du aber auch noch deinen PC physikalisch vom Internet trennen, d.h. Modem/ISDN/DSL Stecker ziehen und vernichten.
Einen absoluten Schutz gibt es nicht. Sobald du online gehst bist du immer einer Gefahr ausgesetzt. Du (man) kann nur versuchen diese Gefahr soweit wie möglich zu minimieren.

Und mit welchen Befehlen mache ich das in der Konsole?Bitte mal ausführlich, ich habe sowas noch nicht gemacht!

Ich könnte jetzt mein Firewallscript hier posten bzw. dir zuschicken. Aber dieses Script ist auf meine Bedürfnisse zugeschnitten. D.h. ich habe nur die Ports (1) offen, welche ich zum Surfen und so brauche.

Du must erst mal wissen mit welchen Anwendungen/Programmen du auf das Internet zugreifen willst. D.h. willst du surfen, E-Mails empfangen und senden (Übertragungsweg verschlüsselt/unverschlüsselt), Downloads (mittels HTTP und/oder FTP), P2P, etc.


MFG

Operations


(1)
z.B. für DNS, HTTP, HTTPS, POP, POP über SSL, NTP, FTP, SMTP

[Deluxa]

Ich möchte ins Internet können,chatten, LICQ benutzen können bzw ein anderes ICQ Programm, von ftp downloaden und von http Seiten downloaden, alle Daten von mir sollen verschlüsselt sein, E-Mails empfangen und versenden können, aber keine Datenübertragung von außen auf meinen Rechner(über ICQ oder ähnliches)alle Ports die gefährlich sind offen zu lassen zu machen! Nur offen lassen was wirklich auf sein muss, damit ich nach außen komme aber von außen niemand rein auf meinen Rechner! Ich möchte die größtmögliche Sicherheitgegen Hacker und Viren mit meiner Firewall haben!
Kannst du mir dafür die Befehle für das Table geben in der Reihenfolge wie ich das eingeben muß?
Danke!

[tylerD]

Kannst du mir dafür die Befehle für das Table geben in der Reihenfolge wie ich das eingeben muß?
Danke!

Du bekommst hier nichts vorgekaut. Lies dir die Threads auf die oben verlink wird durch, benutz die Forumssuche! Da steht alle Befehle. Für das was du willst sind hier schon fertige Lösungen vorhanden, nur fang endlich mal an selber zu suchen und dir was durchzulesen, anstatt hier andere mit Fragen zu bombardieren. Das Problem ist wahrscheinlich, das du einfach keinen Plan davon hast was du eigentlich mit einer Firewall haben willst und was die eigentlich macht.

cu

[Operations]

Hallo Deluxa,

ich habe einen meiner früheren Post hier im Thread erweitert. Dort findest du meine Firewallkonfig, welche du als Ausgangsbasis für deine eigene Konfig nehmen kannst.

ch möchte ins Internet können,chatten, LICQ benutzen können bzw ein anderes ICQ Programm, von ftp downloaden und von http Seiten downloaden, alle Daten von mir sollen verschlüsselt sein, E-Mails empfangen und versenden können, aber keine Datenübertragung von außen auf meinen Rechner(über ICQ oder ähnliches)alle Ports die gefährlich sind offen zu lassen zu machen! Nur offen lassen was wirklich auf sein muss, damit ich nach außen komme aber von außen niemand rein auf meinen Rechner! Ich möchte die größtmögliche Sicherheitgegen Hacker und Viren mit meiner Firewall haben!

ins Internet können --> dafür ist dein Modem, ISDN Karte, DSL Modem oder ähnliches und eine funktionsfähige Konfiguartion zuständig

chatten und ICQ --> kommt darauf an welches Programm und welcher Server genutzt werden und damit welche Ports du dafür freigeben mußt; das müsstest du selbst in Erfahrung bringen; geeignete Stichwörter für Suchfunktionen von Foren und Suchmaschinen (google) könnten sein

Code: Alles auswählen

Programmname/Dienstname Port

Hilfreich sein könnte auch die "/etc/services" Datei, in welcher einige häufig verwendete Dienste und ihre Standard Ports aufgelistet sind.

FTP/HTTP Download --> sind im Script schon drin

E-Mails empfangen und versenden können --> sind im Script schon drin, auch der Abruf (POP3) mittels SSL gesicherter Verbindung, nur der mittels SSL gesicherte Versand nicht

alle Daten von mir sollen verschlüsselt sein

Das wird nicht von der Firewall geregelt, sondern von den Servern, mit denen sich deine Programme auf deinem Rechner verbinden/kommunizieren und die Programme selbst müssen das unterstützen.
z.B. muß der E-Mailserver, von dem du deine E-Mails abrufst und über den du neue E-Mails versendest muß das extra unterstützen. Ebenso muß eine Webseite, d.h. der Webserver SSL Verbindungen anbieten/zulassen damit dein Browser diesen zusätzlichen Dienst auch nutzen kann.

Nur offen lassen was wirklich auf sein muss, damit ich nach außen komme aber von außen niemand rein auf meinen Rechner!

Dann brauchst du nur die Zeilen aus dem Script zu entfernen, wo Ports für Dienste freigegeben werden, die du nicht nutzt. Hier wäre das glaube ich NTP (Network Time Protokoll), welches ich hier nutze um meine Systemuhr möglichst syncron zu offiziellen Weltzeit zu halten.

Ich möchte die größtmögliche Sicherheitgegen Hacker und Viren mit meiner Firewall haben!

Das hängt hauptsächlich von dir und deinem Verhalten im Internet ab. Das heißt z.B. nicht jeden Link sofort und ungeprüft anklicken, E-Mails und vor allem deren Anhänge von Unbekannten und Bekannten Absendern mit gebotener Vorsicht zu genießen.
Ebenso alle vorhandenen Sicherheitsupdates für dein System einspielen. Keine persönlichen Informationen (vor allem Benutzernamen und zugehörige Passwörter) im Internet (Foren, ICQ, Links in E-Mails, etc.) preisgeben.


MFG

Operations

[Deluxa]

Was haltet ihr von dieser Firewall?

Code: Alles auswählen

BEGIN INIT INFO
# Provides: IP-Paketfilter
# Required-Start: $network $local_fs
# Required-Stop: $local_fs
# Default-Start: 3 5
# Default-Stop: 0 1 2 4 6
# Short-Description: Harry's IP-Paketfilter
# Description: Harry's IP-Paketfilter provides reasonable
#      IP-Security for Home-Computers and small networks
### END INIT INFO
#

case "$1" in
  start)
    echo "Starte IP-Paketfilter"

    # iptables-Modul
    modprobe ip_tables
    # Connection-Tracking-Module
    modprobe ip_conntrack
    # Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
    modprobe ip_conntrack_irc
    modprobe ip_conntrack_ftp

    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X

    # Default-Policies setzen
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # MY_REJECT-Chain
    iptables -N MY_REJECT

    # MY_REJECT fuellen
    iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
    iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
    iptables -A MY_REJECT -p icmp -j DROP
    iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

    # MY_DROP-Chain
    iptables -N MY_DROP
    iptables -A MY_DROP -j DROP

    # Alle Pakete protokollieren
    iptables -A INPUT -j LOG --log-prefix "INPUT LOG "
    iptables -A OUTPUT -j LOG --log-prefix "OUTPUT LOG "
    iptables -A FORWARD -j LOG --log-prefix "FORWARD LOG "

    # Korrupte Pakete zurueckweisen
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A OUTPUT -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state INVALID -j DROP

    # Stealth Scans etc. DROPpen
    # Keine Flags gesetzt
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP

    # SYN und FIN gesetzt
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

    # SYN und RST gleichzeitig gesetzt
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

    # FIN und RST gleichzeitig gesetzt
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

    # FIN ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

    # PSH ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

    # URG ohne ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP

    # Loopback-Netzwerk-Kommunikation zulassen
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # Maximum Segment Size (MSS) für das Forwarding an PMTU anpassen
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

    # Connection-Tracking aktivieren
    iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i ! ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # HTTPS
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 443 -j ACCEPT

    # POP3
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

    # FTP
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

    # MYSQL
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

    # EDONKEY
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4661 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4662 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4663 -j ACCEPT
    iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 4665 -j ACCEPT

    # TELNET
    iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 23 -j ACCEPT

    # IP-Adresse des LAN-Interfaces ermitteln
    LAN_IP=$(ifconfig eth0 | head -n 2 | tail -n 1 | cut -d: -f2 | cut -d" " -f 1)

    # NAT fuer HTTP
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
    iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d  --dport 80 -j ACCEPT

    # LAN-Zugriff auf eth0
    iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT

    # Default-Policies mit REJECT
    iptables -A INPUT -j MY_REJECT
    iptables -A OUTPUT -j MY_REJECT
    iptables -A FORWARD -j MY_REJECT

    # Routing
    echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null

    # Masquerading
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    # SYN-Cookies
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null

    # Stop Source-Routing
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done

    # Stop Redirecting
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done

    # Reverse-Path-Filter
    for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done

    # Log Martians
    for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done

    # BOOTP-Relaying ausschalten
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done

    # Proxy-ARP ausschalten
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done

    # Max. 500/Sekunde (5/Jiffie) senden
    echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

    # Speicherallozierung und -timing für IP-De/-Fragmentierung
    echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
    echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
    echo 30 > /proc/sys/net/ipv4/ipfrag_time

    # TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

    # Maximal 3 Antworten auf ein TCP-SYN
    echo 3 > /proc/sys/net/ipv4/tcp_retries1

    # TCP-Pakete maximal 15x wiederholen
    echo 15 > /proc/sys/net/ipv4/tcp_retries2

    ;;

  stop)
    echo "Stoppe IP-Paketfilter"
    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X
    echo "Deaktiviere IP-Routing"
    echo 0 > /proc/sys/net/ipv4/ip_forward

    # Default-Policies setzen
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    ;;

  status)
    echo "Tabelle filter"
    iptables -L -vn
    echo "Tabelle nat"
    iptables -t nat -L -vn
    echo "Tabelle mangle"
    iptables -t mangle -L -vn
    ;;

  *)
    echo "Fehlerhafter Aufruf"
    echo "Syntax: $0 {start|stop|status}"
    exit 1
    ;;

esac

[Bert]

Auch als root darfst Du gerne die code tags verwenden, sonst wird sich kaum jemand die Mühe machen das obrige Monster durchzulesen. Ich hab es diesesmal für Dich gemacht.

[Gravidi]

hmm naja ich bin auch gearde dabei mir einen debian router fertig zu machen...mal ne frage wenn ich debian mit dem kerbel 2.4 drauf habe...muss ich ncoh irgentwas mit modconf oder modprobe laden?

ich muss nix ausser meine zweite netzwerkkarte zu aktivieren und mir ne config für iptables zu schreiben und alles zusammen zu stekcen?

grüsse