[gelöst] openVPN "alles" durch den Tunnel

[mat6937]

Dann sag' mir doch bitte, ...

Nein, das mache ich nicht. Aber jetzt merkst Du hoffentlich warum ich die 1 (für die Regel) benutzt habe, ... weil ich nicht die iptables-Regeln anderer Leute optimieren will.
So und jetzt ab in die Ignorierliste, damit ich in deinen Threads keine Beiträge mehr schreibe.

[dirk11]

So und jetzt ab in die Ignorierliste, damit ich in deinen Threads keine Beiträge mehr schreibe.

Was stimmt denn jetzt schon wieder nicht? Ich will doch nur wissen, was ich für einen Fehler eingwbaut habe!?

[bluestar]

Ok. Jetzt wird's krank...

Dann sag' mir doch bitte, wo mein Fehler liegt - das Konstrukt ist über 15 Jahre alt, im Laufe der Zeit gewachsen, und ich war mir eigentlich sicher, daß alles in Ordnung ist:

Ich frage mal ganz höflich, wer soll jetzt deine ca 320 Zeilen Firewall im Kopf debuggen, noch dazu ohne einen genauen Netzplan und ohne Idee, was deine 15 Jahre alte Firewall eigentlich tun soll?

Du weist schon, dass mit eigenen Chains, multiport Matches, etc. die Komplexität/Menge an FW-Regeln reduzieren kannst.
Achja und im Zuge dessen sei die Frage angemerkt: Bietet dein Server wirklich all die Dienste und den zugehörigen Protokollen an? Ich hab da so einiges gesehen, was ich als Quatsch bezeichnen würde.

Wenn du den Fehler nicht, mit den vorhergehenden Tipps findest, dann solltest du deine Firewall selbst von Grund auf neu bauen und dabei am besten gleich auf ein Iptables-Frontend setzen.

Mein Vorschlag (Ironie an)

Code: Alles auswählen

iptables -P FORWARD ACCEPT
iptables -F FORWARD

(Ironie aus)

[dirk11]

Ich frage mal ganz höflich, wer soll jetzt deine ca 320 Zeilen Firewall im Kopf debuggen,

Das hat doch niemand erwartet. Es ist ein Leichtes, sich den Teil herauszupicken, der die forward-Regeln enthält (ab Zeile 287). Den Rest habe ich mit gepostet, weil sonst idR immer gemeckert wird, wenn man nur Auszüge zeigt, dass das zu wenig sei, weil aus dem Zusammenhang gerissen.

noch dazu ohne einen genauen Netzplan

Was für ein "Netzplan"? Es ging ursprünglich mal um openvpn. Der Netzplan hier lautet: Modem-Router-Heimserver.

Du weist schon, dass mit eigenen Chains, multiport Matches, etc. die Komplexität/Menge an FW-Regeln reduzieren kannst.

Deinen Sarkasmus kannst Du Dir sparen, oder glaubst Du ernsthaft, die Regeln würden so aussehen, wenn ich das wüßte!?

Achja und im Zuge dessen sei die Frage angemerkt: Bietet dein Server wirklich all die Dienste und den zugehörigen Protokollen an? Ich hab da so einiges gesehen, was ich als Quatsch bezeichnen würde.

Die meisten. Einige vielleicht nicht mehr, da sind die Regeln der Einfachheit halber geblieben, weil bei nicht laufendem Dienst idR auch nicht schaden. Was genau ist denn Deiner Meinung nach "Quatsch"?

EDIT:
Nachdem ich die vier Zeilen, die den Kommentar "# Test" am Ende hatten, wieder auskommentiert habe, regeln die anderen Regeln natürlich auch wieder. Die Reaktionen so mancher hier im Forum werden mir immer mehr zu einem Rätsel...

[bluestar]

Deinen Sarkasmus kannst Du Dir sparen, oder glaubst Du ernsthaft, die Regeln würden so aussehen, wenn ich das wüßte!?

Das war kein Sarkasmus, sondern ein nett gemeinter Hinweis, der dir bei der Neugestaltung deiner Firewall helfen kann.

Die meisten. Einige vielleicht nicht mehr, da sind die Regeln der Einfachheit halber geblieben, weil bei nicht laufendem Dienst idR auch nicht schaden. Was genau ist denn Deiner Meinung nach "Quatsch"?

Du hast meinen Hinweis zur Überarbeitung so charmant abgelehnt, da dürfen deine FW-Regeln meinetwegen auch so bleiben, wie sie sind.

Die Reaktionen so mancher hier im Forum werden mir immer mehr zu einem Rätsel...

Da stimme ich dir gerne zu...

Deinen Wunsch „Dann sag' mir doch bitte, wo mein Fehler liegt“ kann ich wie folgt auch einfach beantworten: Schreib deine Regeln neu, verwende all das an Features, was iptables heute bietet und verabschiede dich von einem 15 Jahre alten Firewall-Design anstatt zu erwarten, das andere Menschen sich für dich da durchkämpfen.

P.S.: Nopaste wäre in Anbetracht der Länge deines FW-Postes gut gewesen.

[bluestar]

Hier die "Quatsch"-Übersicht:
* 125
* 139-142
* 146-148
* 150-152
* 163-166
* 230-275
** VPN Renumbering (10.1.0.0/26 und 10.2.0.0/26) => 10.1.0.0/25
*** tun0: 10.1.0.0/26
*** tun1: 10.1.0.64/26
*** Supernet VPN in Firewall verwenden: 10.1.0.0/25
* 184- 275: Deduplizierung der Regeln durch eigene Chain "erlaubt" => von 139 bis 181
** Chain-Beispiel: iptables -A erlaubt -p udp --dport ntp -j ACCEPT
** Quell-IP-Bereiche in Chain umleiten:
*** iptables -A INPUT -s xxxx -j erlaubt
*** iptables -A INPUT -x yyyy -j erlaubt

Übrigens kann ich dir shorewall und shorewall6 nur empfehlen...

[dirk11]

Hier die "Quatsch"-Übersicht:

* 125 - was ist daran "Quatsch"? Fingerd läuft hier.
Der Rest ist einigermaßen bereinigt, da war viel Mist drin, das stimmt. Das mit Deinem Supernet VPN möchte ich aber nicht, das ist mir zu unübersichtlich.

[bluestar]

Hier die "Quatsch"-Übersicht:

* 125 - was ist daran "Quatsch"? Fingerd läuft hier.

Ich kenne deine Dienste nicht, wie schon angemerkt fehlt jeglicher Plan deiner Infrastruktur (Netzplan, eingesetzte Services, etc.)
Zu Finger ein Hinweis: https://de.wikipedia.org/wiki/Finger_(I ... protokoll)

Code: Alles auswählen

Finger wird heute ähnlich wie andere Protokolle ähnlicher Funktionalität als eklatantes Sicherheitsleck gewertet, 

Der Rest ist einigermaßen bereinigt, da war viel Mist drin, das stimmt.

Na dann bekommst dein OpenVPN Tunnel Problem ja auch selbst gelöst

Das mit Deinem Supernet VPN möchte ich aber nicht, das ist mir zu unübersichtlich.

Mir ist deine ganze Firewall viel zu unübersichtlich.

[dirk11]

Zu Finger ein Hinweis: https://de.wikipedia.org/wiki/Finger_(I ... protokoll)

Code: Alles auswählen

Finger wird heute ähnlich wie andere Protokolle ähnlicher Funktionalität als eklatantes Sicherheitsleck gewertet, 

...dann poste doch wenigstens den ganzen Satz:

Code: Alles auswählen

[...] da damit Außenstehende detaillierte Informationen über die Identität von Nutzern und deren Gewohnheiten erlangen können.

Das ist kein "Sicherheitsleck", sndern der Sinn von finger. Und man kann das alles passend einschränken/konfigurieren.
Nicht alles, was auf wikipedia steht, ist sinnvoll oder gar logisch hinterfragt. Wie kann man einen Dienst als "Sicherheitsleck" bezeichnen, der genau das macht, wozu er da ist!?

Na dann bekommst dein OpenVPN Tunnel Problem ja auch selbst gelöst

? Das ist doch schon längst gelöst, siehe thread-Verlauf.

Mir ist deine ganze Firewall viel zu unübersichtlich.

Tja, so unterschiedlich sind die Sichtweise. Aus Deiner Sicht heraus magst Du Recht haben.

[bluestar]

Na dann bekommst dein OpenVPN Tunnel Problem ja auch selbst gelöst

? Das ist doch schon längst gelöst, siehe thread-Verlauf.

Ironie ist nicht deins, setz den Titel dann doch bitte noch eben auf gelöst.

[dirk11]

Ironie ist nicht deins, setz den Titel dann doch bitte noch eben auf gelöst.

...oder nicht Deins...