Firewall integrieren

[schmalzz]

Hi Leutz,

ich habe bei mir zuhause hinter der FritzBox meinen Server hängen. Nach außen hin ist nur der Webserver zu erreichen für mein Webmail.
Ich überlege jetzt, ob ich noch zusätzlich eine Firewall am Server installieren soll. Was meint ihr? Sinnvoll wäre es ja bestimmt, die Frage ist dann nur was ich hernehmen soll. Ich möchte gern was fertiges, da ich ehrlich gesagt momentan einfach nicht die Zeit hab mich in was größeres reinzuarbeiten (Nachwuchs ist unterwegs ).
Alternativ hab ich schon überlegt den c't Server zu nehmen, da würd ich ja alles fix und fertig kriegen. Was haltet ihr von dem Teil?

Gruß

[meandtheshell]

nutze einmal die Forums Suche mit dem String "firestarter"

- firestarter ist ein front end für
- iptables welcher ein
- packetfilter ist

Machst du es so sind spätere manuelle Eingriffe möglich.

markus

[schmalzz]

Hi,

danke für den Tip. Wenn ich das richtig sehe ist das Tool per GUI zu konfigurieren. Ich hab aber kein X installiert. Ich bräuchte also was für die Konsole.
Hast du da was`?

[meandtheshell]

Ich hab aber kein X installiert. Ich bräuchte also was für die Konsole.

Dann würde ich gleich ein shell script machen und damit Iptables filter rules übergeben. Muss ja kein 4000 Zeilen script werden ...

Im Wiki findest du dazu mehr. Für schnelle fragen einfach in unseren MUC (multi user chat) gehen - da sollte immer jemand sein der hilft. http://wiki.debianforum.de/debianforum.de/JabberChat

markus

[xafnir]

ich persönlich verwende Vuurmuur. Braucht kein X, hat eine art Console-Gui.

Vuurmuur is a powerful middle-end/front-end for netfilter/iptables aimed at system-administrators who need a decent firewall, but don't have netfilter specific knowledge.

http://vuurmuur.sourceforge.net/
Fertige *.deb Pakete gibts auch
Bei Fragen zur Konfiguration einfach melden

[meandtheshell]

Braucht kein X, hat eine art Console-Gui

soetwas nennt sich im allgem. ncurses GUI http://en.wikipedia.org/wiki/Ncurses

Das Ding kannte ich noch nicht - ist aber in Bezug auf das ursprüngliche Problem eine weit bessere Lösung als das von mir vorgeschlagene Vorgehen, da es sicherlich schneller umsetzbar ist.

markus

[schmalzz]

Danke für die Tips. Hab mittlerweile auch was Bastille gelesen. Werd mir das heute abend mal ansehen. Kommt angeblich auch ohne X aus.
Ansonsten werd ich den Tip von xafnir mal verfolgen.

Gruß

[mistersixt]

Wenn Du aber sowieso nur Port 80 von der Fritzbox weiterleitest, dann ist eine zusätzliche Firewall eigentlich nicht mehr zwingend notwendig. Es müsste also schon Jemand Deine Fritzbox hacken und sich dann an Deinen Server machen oder Du müsstest Dir auf einem weiteren Rechner im LAN einen Trojaner etc. einfangen (zum Beispiel auf einem Windows-Rechner), so dass Jemand von aussen über diese Schwachstelle an Deinen Debian-Server kommt. Aber das ist alles eher unrealistisch.

Natürlich macht es aber Sinn, sich mal mit iptables zu beschäftigen, da kann man viel über TCP-/IP und Paketfilterung lernen.

Grüsse, mistersixt.

[Methusalix]

Hallo,

Hab mittlerweile auch was Bastille gelesen...

wobei Bastille keine Firewall ist, sondern eher zu der Gruppe der harden-tools
zählt; jene Programme also, die das System insgeseamt abhärten sollen
(und auch können); etwa durch Anpassung von zu großzügig gesetzten
Benutzerrechten o.ä. Bastille enthält zahlreiche Möglichkeiten der "Abhärtung"; u.a.
auch die, ein Firewall-Script zu generieren. Dies ist aber nur eine Möglichkeit, mit
Bastille zu arbeiten.

Gruß
Matthias

[schmalzz]

Hi Leutz,

also, um den Thread mal abzuschliessen - ich hab jetzt vuurmuur am Laufen. Einfach genial. Wenn man mal die Logik einigermaßen durchschaut hat ists wirklich super. Danke für den Tip xafnir!

Ich fühl mich jetz schon viel sicherer

Ich muß nur noch die ganzen Logausgaben auf der Konsole wegbringen...

Gruß

[herrchen]

Ich muß nur noch die ganzen Logausgaben auf der Konsole wegbringen...

http://wiki.vuurmuur.org/tiki/tiki-view ... faqId=2#q6

herrchen

[schmalzz]

@herrchen:

Danke, hab's damit hingekriegt.

Gruß

[schmalzz]

Hm,

ein Problem hab ich aber jetzt doch: Wie komm ich von außen wieder auf meinen Webserver?
Der Webserver hängt hinter der Fritzbox. Auf der Box ist eine Weiterleitung von der festen IP des ISP auf meinen internen Webserver eingerichtet. Hat ohne Firewall auf dem Webserver problemlos gefunzt.
Jetzt geht's natürlich nicht mehr, was ja erst mal auch richtig ist. Wie müsste den eine Regel für sowas aussehen? Also

<IP-Adresse>:443 -> (via Fritzbox) Webserver:443

weiterleiten?

[adi]

ein Problem hab ich aber jetzt doch: Wie komm ich von außen wieder auf meinen Webserver?
[SNIP]
<IP-Adresse>:443 -> (via Fritzbox) Webserver:443

In Vuurmuur eine neue Regel mit "PORTFW" erstellen:

Code: Alles auswählen

Portfw service https from world.inet to sever.mylan.dmz

(oder wie immer Du die Dinge in Deinem LAN benannt hast)

lg Adi

[schmalzz]

Danke,

werd's mal die nächsten Tage testen wenn ich Zeit hab.

Gruß

[schmalzz]

@adi:
Danke für deinen Tip. Zusätzlich muß man aber generell mal den https-Verkehr von außen zur Firewall erlauben. Damit klappts zumindest bei mir jetzt perfekt.

Mittlerweile läuft alles wieder perfekt! HBCI, Proxy und Webserver von außen! Einfach genial, dieses vuurmur. Kann ich nur allen empfehlen.

Danke nochmal an alle für die Hilfe hier.

Gruß