Suche ein gutes Firewall Script für einen Web/Mail/FTP Server.
Welches auch gegen DDOS schützen könnte.
Habe mal versucht selbst eins zu schreiben, doch leider will das nicht so recht.
Verwende iptables.
Firewall Script
-
P3rturbator
- Beiträge: 19
- Registriert: 12.03.2004 14:54:15
hallo,
du koenntest dir mal diesen script generator
http://www.harry.homelinux.org/modules. ... _Generator
anschauen.
ansonsten kenne ich auch nur noch einen generator, der aber meiner meinung nach nicht so gut ist.
auch auf http://www.netfilter.org/ findest du hilfe!
gruss
p3rturbator
du koenntest dir mal diesen script generator
http://www.harry.homelinux.org/modules. ... _Generator
anschauen.
ansonsten kenne ich auch nur noch einen generator, der aber meiner meinung nach nicht so gut ist.
auch auf http://www.netfilter.org/ findest du hilfe!
gruss
p3rturbator
-
lobo
- Beiträge: 180
- Registriert: 27.01.2002 21:48:08
- Lizenz eigener Beiträge: GNU General Public License
Hi!
Bestimmte Packetfilter Regeln alleine werden nicht wirklich helfen, deswegen kann ich dir den Artikell Dämme gegen die SYN-Flut von Heise Security empfehlen, wo auch ein paar Kernel Einstellugen erklärt werden, die du vornehmen könntest.
Mit dem "limit" match von Iptables kannst du z.B., nur eine bestimmte Anzahl von TCP Paketen mit gesetztem SYN-Flag in einer bestimmten Zeit auf die Ports der Dienste durchlassen.
Um da den Richtigen Wert für die Anzahl der erlaubten SYNs pro Zeiteinheit zu finden, wirst du etwas herumprobieren müssen.
In der Patch-o-Matic von Netfilter gibt es auch noch interessante Module für diese Aufgabe. Zum Beispiel iplimit, damit kannst du die Anzahl der gleichzeitig erlaubten Verbindungen festlegen, damit könnte man das Problem vielleicht sogar etwas in den Griff bekommen.
Wenn du deine Packetfilter Scripte selber schreiben willst, könnte ich dir das Buch "Linux Firewalls - Konzeption und Implementierung für Netzwerke und PCs" (ISBN 3-8272-6257-7) vom Martk+Technik Verlag empfehlen.
Sobald man aber mal Scripte für mehrere Maschinen und mehreren Interfaces schreiben muss, kann ich Shorewall empfehlen. Mit Shorewall behält man auch noch bei grösseren Regelwerken den Überblick und hat schnell eine Lösung die funktioniert.
Das einzigste was dir diese Maßnahmen vielleicht brigen ist, dass dein Server schön friedlich weiter läuft, aber der DDoS Angriff wird ab einer bestimmten Anzahl von Angreifern immer Erfolg haben, da der Dienst von Aussen dann nicht mehr erreichbar ist.
Bisher hatte ich noch keinen DDoS Angriff auf meine Server, deswegen sind meine Ansätze nur aus der Theorie.
Gruss
Jochen
Bestimmte Packetfilter Regeln alleine werden nicht wirklich helfen, deswegen kann ich dir den Artikell Dämme gegen die SYN-Flut von Heise Security empfehlen, wo auch ein paar Kernel Einstellugen erklärt werden, die du vornehmen könntest.
Mit dem "limit" match von Iptables kannst du z.B., nur eine bestimmte Anzahl von TCP Paketen mit gesetztem SYN-Flag in einer bestimmten Zeit auf die Ports der Dienste durchlassen.
Code: Alles auswählen
iptables -A INPUT -p tcp --tcp-flags ALL SYN --sport 1024: --dport 80 -m limit 5/sec -j ACCEPT
In der Patch-o-Matic von Netfilter gibt es auch noch interessante Module für diese Aufgabe. Zum Beispiel iplimit, damit kannst du die Anzahl der gleichzeitig erlaubten Verbindungen festlegen, damit könnte man das Problem vielleicht sogar etwas in den Griff bekommen.
Wenn du deine Packetfilter Scripte selber schreiben willst, könnte ich dir das Buch "Linux Firewalls - Konzeption und Implementierung für Netzwerke und PCs" (ISBN 3-8272-6257-7) vom Martk+Technik Verlag empfehlen.
Sobald man aber mal Scripte für mehrere Maschinen und mehreren Interfaces schreiben muss, kann ich Shorewall empfehlen. Mit Shorewall behält man auch noch bei grösseren Regelwerken den Überblick und hat schnell eine Lösung die funktioniert.
Das einzigste was dir diese Maßnahmen vielleicht brigen ist, dass dein Server schön friedlich weiter läuft, aber der DDoS Angriff wird ab einer bestimmten Anzahl von Angreifern immer Erfolg haben, da der Dienst von Aussen dann nicht mehr erreichbar ist.
Bisher hatte ich noch keinen DDoS Angriff auf meine Server, deswegen sind meine Ansätze nur aus der Theorie.
Gruss
Jochen
Erstmal danke für die ganzen Tipps.
Das Buch von Markt+Technik habe ich schon, doch wenn ich die Firewall so abtippe wie in dem Buch beschrieben ist (Ums erstmal zu verstehen), komme ich garnicht mehr auf den Rechner auch wenn ich die Ports freischalte.
Ich versuchs ja immer noch zu lernen, nur das ich auf eine echt sichere Firewall komme, wirds wohl noch ein wenig dauern.
Zudem wollte ich meinen Server im Inet nicht als Testobjekt nutzen, da sollte es schon sicherer sein bis ich das alles richtig gut verstehe.
Ich werde mir mal die ganzen Links anschauen und versuchen mein Problem in den Griff zu kriegen.
Mein Server ist nämlich momentan unter häftigen DDOS-Attacken, wobei die Router vom Rechenzentrum schon 80% aufhalten (Lauf Aussagen von den Verantwortlichen).
Problem ist einfach, das keiner mehr auf den Webserver mehr kommt und alle Seiten down sind.
Dies wird zwar auch sein wenn ich eine Firewall habe, aber vielleicht kann man es ja trotzdem in den Griff kriegen?
Das Buch von Markt+Technik habe ich schon, doch wenn ich die Firewall so abtippe wie in dem Buch beschrieben ist (Ums erstmal zu verstehen), komme ich garnicht mehr auf den Rechner auch wenn ich die Ports freischalte.
Ich versuchs ja immer noch zu lernen, nur das ich auf eine echt sichere Firewall komme, wirds wohl noch ein wenig dauern.
Zudem wollte ich meinen Server im Inet nicht als Testobjekt nutzen, da sollte es schon sicherer sein bis ich das alles richtig gut verstehe.
Ich werde mir mal die ganzen Links anschauen und versuchen mein Problem in den Griff zu kriegen.
Mein Server ist nämlich momentan unter häftigen DDOS-Attacken, wobei die Router vom Rechenzentrum schon 80% aufhalten (Lauf Aussagen von den Verantwortlichen).
Problem ist einfach, das keiner mehr auf den Webserver mehr kommt und alle Seiten down sind.
Dies wird zwar auch sein wenn ich eine Firewall habe, aber vielleicht kann man es ja trotzdem in den Griff kriegen?
-
lobo
- Beiträge: 180
- Registriert: 27.01.2002 21:48:08
- Lizenz eigener Beiträge: GNU General Public License
Einfach das Script abschreiben ist glaube ich so ziemlich der grösste Fehler. Ich verstehe schon, dass du erst mal ein vermeindlich funktionierendes Script haben willst, an dem du dann basteln kannst, aber das ist der falsche Ansatz. Ein Packetfilter hat eine recht einfache Funktion, aber um so etwas sauber zu realisieren, braucht man auch detaillierte Kenntnisse im Netzwerkbereich.Friesi hat geschrieben:...
Das Buch von Markt+Technik habe ich schon, doch wenn ich die Firewall so abtippe wie in dem Buch beschrieben ist (Ums erstmal zu verstehen), komme ich garnicht mehr auf den Rechner auch wenn ich die Ports freischalte.
...
Mein Tip wäre, dass du den Packetfilter erst stückweise aufsetzt und immer gleich die Wirkung deiner Konfiguration mit einem Paketgenerator wie Hping testest.
Das soll kein Vorwurf sein, weil du das Script abgeschrieben hast, sondern eher ein Tip von mir, wie ich mir die meisten Sachen aneigne. Du wirst auf diesem Weg zwar etwas länger brauchen, aber du kannst danach sicher behaupten, dass du dich in diesem Bereich gut auskennst.
Gruss
Jochen
Packet Crafting for Firewall & IDS Audits (Part 1 of 2)
Jo danke 
Muss ich mich nochmal da ein wenig reindenken.
Also mache ja momentan mein CCNA in der Schule und hatten durch nun ACLs von Cisco Routern, die gingen ja eigentlich, doch sind iptables doch ein wenig besser und komplexer.
Der totale noob im bereich Netzwerktechnik bin ich ja nicht, also weis schon was Ports u.s.w sind.
Also Ports blocken u.s.w dürfte kein Problem werden, doch mit limits oder komplexeren Sachen hab ich es noch nicht so, teilweise fehlt mir auch einfach die Zeit.
Doch bald hab ich ja ein wenig mehr Zeit und erhoffe mir von meinem 12 Wöchigen Praktikum auch ein wenig was. Mache dies nämlich in einem Rechenzentrum die mit Windows aber auch Linux Servern arbeiten und da ist es sicherlich nicht verkehrt man kennt sich schon ein vorher ein wenig mit IPtables und co aus.
Erstmal danke für die ganzen Tipps, werde mich da nun mal durcharbeiten.
Aber hast schon recht, abschreiben ist sicherlich nicht die beste Methode versuch ja aber auch zu verstehen
Muss ich mich nochmal da ein wenig reindenken.Also mache ja momentan mein CCNA in der Schule und hatten durch nun ACLs von Cisco Routern, die gingen ja eigentlich, doch sind iptables doch ein wenig besser und komplexer.
Der totale noob im bereich Netzwerktechnik bin ich ja nicht, also weis schon was Ports u.s.w sind.
Also Ports blocken u.s.w dürfte kein Problem werden, doch mit limits oder komplexeren Sachen hab ich es noch nicht so, teilweise fehlt mir auch einfach die Zeit.
Doch bald hab ich ja ein wenig mehr Zeit und erhoffe mir von meinem 12 Wöchigen Praktikum auch ein wenig was. Mache dies nämlich in einem Rechenzentrum die mit Windows aber auch Linux Servern arbeiten und da ist es sicherlich nicht verkehrt man kennt sich schon ein vorher ein wenig mit IPtables und co aus.
Erstmal danke für die ganzen Tipps, werde mich da nun mal durcharbeiten.
Aber hast schon recht, abschreiben ist sicherlich nicht die beste Methode versuch ja aber auch zu verstehen