iptables und DSL (mal wieder :-))

[sellchris]

Hallo Forum!

Suche eine Anleitung wie ich meinen Rechner mit IPTABLES schützen kann. Es gibt kein routing, nur eine Verbindung von meiner Kiste zum Provider!

Bitte nicht schlagen. Ich weis, dass das Thema schon das ein oder andere Mal im Forum behandelt wurde. Nur finde ich keine Anleitung wie ich meinen Rechner schützen kann der direkt mit DSL mit dem Internet verbunden ist.

Hat jemand ein Script für diesen Fall?? Kennt jemand eine Anleitung??

Also ich bitte um Nachsicht !

[rolo]

hi,

http://www.netfilter.org/documentation/index.html#HOWTO
http://www.linux-user.de/ausgabe/2002/0 ... all-4.html
letzteres ist, wie ich finde, ein guter einstieg.

ansonsten
http://www.debian.org/doc/manuals/secur ... h1.de.html
bezieht sich aber nicht direkt auf iptables.
im wiki des forums findest du dann auch noch was zum thema.

bis denn

[nihonto]

... oder aber, Du nimmst einfach Harry's Iptables-Generator.
Hört sich möglicherweise ziemlich schräg an, ist aber ziemlich gut - vor allem, wenn Du nicht irgendwelche Sonderbedingungen bedenken musst .

[sellchris]

OK hab ein bisschen gelesen und probiert

Eigentlich brauche ich nur ganz wenige Regeln. Aber auch bei meiner ersten bekomme ich schon ein Problem.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# www
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

Diese Regel ermöglicht mir nicht ins www zu kommen. Hab sie aber so aus einem Tutorial übernommen. Sieht jemand woran es liegt?

[meandtheshell]

@ shellchris

Code: Alles auswählen

iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT 

mit

Code: Alles auswählen

1024:

akzeptierst du erst alles oberhalb von port 1023 - kenne dein netz ja nicht - aber benötigst du das - eher nicht denke ich

edit: und bitte nimm code tags - keine zitat tags für code
edit die 2te: warum überhaubt eine rule in der OUTPUT chain? hast du ein untrusted internal network?

[sellchris]

Dachte mein Browser würder immer einen Port grösser als 1023 verwenden??

Wie würdest du die Regel definieren?

[meandtheshell]

Dachte mein Browser würder immer einen Port grösser als 1023 verwenden??

eher nicht

Wie würdest du die Regel definieren?

wie gesagt wenn du ein internes LAN hast das trusted ist - also du davon ausgehen kannst, das keine unerlaubten zugriffe vom LAN ins Internet stattfinden (das ist bei einem privaten LAN zuhause eigentlich immer der Fall) dann brauchst du keine regeln in der OUTPUT chain (normalerweise!)

[sellchris]

Danke!

Code: Alles auswählen

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p udp --sport 80 --dport 1023: -j ACCEPT
iptables -A INPUT -p tcp --sport 80 --dport 1023: -j ACCEPT

Trotzdem kann ich wenn ich die firewall starte nicht mit dem Browser ins netz! Verstehe aber nicht ganz warum???

Raus müsste ich ja kommen aber warum lässt iptables nichts hinein?

[gms]

Das UDP Protokoll wird für das HTTP Protokoll nicht benötigt

Was ergibt denn

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_local_port_range

Damit wird der Bereich deiner unprivilegierten lokalen Ports angezeigt

Was erhältst du beim Kommando

Code: Alles auswählen

iptables -vL INPUT

Gruß
gms

[sellchris]

ersteres ergibt als Ausgabe

Code: Alles auswählen

32768   61000

zweiter Befehl

Code: Alles auswählen

pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp spt:www dpts:1023:65535

[meandtheshell]

@ sellchris
kannst du bitte einmal dein gesamtes script posten ...

[sellchris]

Kann ich.

Code: Alles auswählen

#!/bin/bash

case "$1" in start)
  echo "start Firewall"
  iptables -F

  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD DROP

  # www
  sudo iptables -A INPUT -p tcp --sport 80 --dport 1023: -j ACCEPT
;;

[DynaBlaster]

Ist das denn dein ganzes Script oder hast du nur einen Teil deines Scriptes gepostet. Ist letzteres der Fall, fehlt z.B. eine Regel für DNS.

Evtl. hilft dir ja auch dieser Thread hier weiter:
http://www.debianforum.de/forum/viewtop ... 6549a48ffe

Gleich das vierte Posting enthält ein Script zum Absichern eines Einzelplatz-Rechners.

Nachtrag: Wie man sieht, war es das ....

[meandtheshell]

wozu sudo? - wie bitte startest du dein script? keine ahnung was du vorhast aber ein firewall script startet man normal unter zuhilfe nahme des systems V - d.h. beim wechseln in den runlevel ...

[sellchris]

sudo verwende ich so dass ich als normaler User ein bisschen testen kann. Mache halt nicht gern was als root.

Wenn das Script mal steht (was warscheinlich noch sehr lange dauert ), werde ich es in die Runlevels integrieren... ohne sudo versteht sich.

[rolo]

ich denke es würde dich wirklich weiter bringen, wenn du das komplette howto vom linux-user durcharbeiten würdest (oder auch ein anderes). irgendwie scheint mir, hast du nur den anfang gelesen. naja, ich kann dir das nur nochmal empfehlen, und sicher wäre das wirklich gut investierte zeit.
ansonsten guck dir shorewall an, aber auch das ist nicht ganz trivial, wie ich finde. http://www.shorewall.net/

machs gut

edit:
formulierungsfehler entfernt.

[meandtheshell]

ich schließe mich der meinung von atrophin an - tu noch etwas mehr lesen - es kommt mir so vor als hättest du grundlegende ahnung von den dingen aber bei einigen sachen noch eine wissenslücke - es hilft ja dir wenn du dich schlau machst - das meine ich aber nicht böse oder so ... wenn du mehr durchblick hast dann fragst du eben wieder - auch wenn das evtl. ein paar wochen dauert - macht ja nichts ...

noch was: thema firewall - das forum is voll von postings dazu ... !

gruesse markus

[Athlux]

Falls nur ein einzelner Linux Rechner am DSL Modem hängt ist eine Firewall nichtmal unbedingt nötig.

Solange Du keine unnötigen Ports/Dienste nach aussen anbietest geht es auch gut ohne iptables Regeln.

[sellchris]

Also gut... hör ich mal auf euch und werde mir mal 2 Tutorials von vorne bis hinten reinziehen. Vielleicht sind meine Probleme dann wirklich passe. Vielleicht ... trotzdem thanX!