Firewall configuration

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
ihop
Beiträge: 110
Registriert: 27.08.2004 17:45:46
Wohnort: Wien
Kontaktdaten:

Firewall configuration

Beitrag von ihop » 28.08.2004 13:27:27

Hi

möchte jetzt schon langsam von suse auf debian wechseln und habe nun volgendes problem.

daher das ich 2 rechner habe ( einer linux anderer win XP)
konnte ich bei suse das locker in der firewall so einstellen das alle internet anfragen die von win xp kommen weiter leitet ( glaub masquering hat das geheisen)
nun soll debian die gateway funktion über nehmen wo stell ich das denn ein ??

gibt es bei debian auch eine firewall mit packet filter oder nur mit ip filter??
denn ich kenn mich nur halbwegs mit packet filter aus und schon gar nicht wie ich eine ip filter configuriern soll

meine letzte frage bezieht sich mehr auf eine grund frage ist sehr viel unterschied zwischen einem knoppix das ma auf die hd installiert hat und dem normalen woody???

greez ihop

Benutzeravatar
Raoul
Beiträge: 1435
Registriert: 20.05.2003 00:16:35
Lizenz eigener Beiträge: neue BSD Lizenz
Kontaktdaten:

Re: Firewall configuration

Beitrag von Raoul » 28.08.2004 22:35:15

ihop hat geschrieben:möchte jetzt schon langsam von suse auf debian wechseln und habe nun volgendes problem.
Brav :wink: Scherz bei Seite: Natürlich finde ich Debian gut, aber ich denke, SuSE ist auch keine schlechte Distribution und deshalb finde ich das ganze SuSE-Bashing, was machnachmal auch hier gepflegt wird, etwas albern.
nun soll debian die gateway funktion über nehmen wo stell ich das denn ein ??
schau mal hier und hier
gibt es bei debian auch eine firewall mit packet filter oder nur mit ip filter??
ja, nennt sich ipmasq.
denn ich kenn mich nur halbwegs mit packet filter aus und schon gar nicht wie ich eine ip filter configuriern soll
Ist grob gesagt das gleiche. Iptables ist ein Paketfilter, damit kann man auch nach IPs filtern, routen und, was Du willst "maskieren". Der Rechner, der das macht, fungiert als Firewall. Eine Firewall ist ein Sicherheitskonzept, ein Paketfiler die Umsetzung.
ist sehr viel unterschied zwischen einem knoppix das ma auf die hd installiert hat und dem normalen woody???
Ja. Woody ist verglichen mit Knoppix uralt, Knoppix ist am ehesten vergleichbar mit Sarge.

Viel Spaß mit Debian
wünscht
Raoul

Code: Alles auswählen

grep -ir fuck /usr/src/linux

ihop
Beiträge: 110
Registriert: 27.08.2004 17:45:46
Wohnort: Wien
Kontaktdaten:

Beitrag von ihop » 29.08.2004 23:30:34

danke für die hilfe nur habe ich nun das problem das mein icq vom xp rechner nimmer geht :(
zur zeit schaut mei dynfw so aus

Code: Alles auswählen

#/bin/bash
# Global variables

EXTDEV=ppp0 # External device pointing to the internet
INTDEV=eth0 # Internal device pointing to the local net
INTLAN=192.168.1.0/24
IPTABLES=/sbin/iptables

case "$1" in

start)
echo "dynfw $1"
## Load modules
# modprobe iptable_nat
# modprobe iptable_filter
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp ports=7771,21
# modprobe ip_nat_ftp
# modprobe ip_tables
# modprobe ipt_MASQUERADE
# modprobe ipt_REJECT

## Enable Paketforwarding and set dynamic IP
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

## Flush tables and set default policy
$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t filter -F FORWARD
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT

## Masquerading
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o $EXTDEV -s 192.168.1.0/16 -j MASQUERADE

## Allow all on localhost
$IPTABLES -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

# Define ports that should be open
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 21 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 80 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 22 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 5190 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p udp --dport 1863 -j ACCEPT

## Close all other ports
# $IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 1:1024 --syn -j REJECT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 901 --syn -j REJECT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 139 --syn -j REJECT

## Portforwarding
# Edonkey/Overnet:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to-dest 192.168.1.2
#ICQ
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5190 -j DNAT --to-dest 192.168.1.2
;;

restart)
echo "dynfw stop"
$0 stop && $0 start

;;
esac
Port 5190 ist ICQ soweit ich weis

Aja die IPs wirds vlt brauchen
Linux 192.168.0.1
XP 192.168.0.2

greez ihop

Benutzeravatar
thorben
Beiträge: 722
Registriert: 14.09.2003 23:23:49

Beitrag von thorben » 30.08.2004 09:26:41

moin,
abgesehen davon dass der packetfilter grundsätzlich falsch konfiguriert ist (du hast die default policy auf ACCEPT) fehlen dir die stateful rules.

zudem ist INPUT port 5190 vollkommen sinnlos, das ist OUTPUT vom client aus (also FORWARD am router, wobei da durch deine FORWARD ACCEPT policy egal ist)

ich würde dir emfehlen dir ein fertiges iptables skript zu suchen (gibt bestimmt welche hier im forum) und dir das ganze noch mal in ruhe durch den kopf gehen zu lassen.

alle fehlkonfigurationen in dem skript zu erläutern mag ich gerade nicht ;-)

gruß
thorben

Benutzeravatar
K@sperl
Beiträge: 216
Registriert: 20.09.2003 11:38:22

Beitrag von K@sperl » 30.08.2004 09:50:52

Schau dir mal folgendes fertiges Skript an:
http://www.linuxguruz.com/iptables/scri ... ll_023.txt

ihop
Beiträge: 110
Registriert: 27.08.2004 17:45:46
Wohnort: Wien
Kontaktdaten:

Beitrag von ihop » 30.08.2004 12:47:44

das is schon eine fertige da habe ich kaum was selber gemacht man siehe
http://www.debianforum.de/wiki/?page=in ... bianmanier

und das firewallscript was du mir gezeigt hast is sicher recht gut aber ausskennen tu ich mich nicht bräuchte fürn anfang was kleineres denn ich kenn mich noch nüsse mit firewalls aus ;)

was ist eig mit dem
http://de.geocities.com/ihop_ablage/firewall.txt
greez ihop
Zuletzt geändert von ihop am 30.08.2004 14:14:58, insgesamt 2-mal geändert.

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 30.08.2004 13:24:19

@ihop: könntest Du das Script irgendwo extern ablegen und nur verlinken? Posten langer Scripts ist laut unseren Verhaltensregeln [1] nicht erwünscht. Wenn Du willst, dann kann ich das Script auch für Dich irgendwo ablegen. meld Dich einfach.

[1] http://www.debianforum.de/wiki/Debianfo ... tensregeln

Gruß Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 30.08.2004 13:26:34

Und dann auch noch nur jede 2te Zeile mit Text gefüllt, bzw. als Leerzeile... Manchmal kann man schon den Eindruck haben, dass die Leute gar nicht *wollen*, dass man das liest... :-(

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

ihop
Beiträge: 110
Registriert: 27.08.2004 17:45:46
Wohnort: Wien
Kontaktdaten:

Beitrag von ihop » 30.08.2004 14:13:37

tut mir leid kommt nicht wieder vor ich werd den eintrag editieren und das script extern ablegen

ihr ist der link zu dem script
http://de.geocities.com/ihop_ablage/firewall.txt

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 31.08.2004 01:20:00

Das Skript sollte es tun... Warum auch nicht? :mrgreen:

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Antworten