Firewall -. iptables - Wie startet man?

Krischu · Beitrag von **Krischu** » 12.04.2006 17:53:23

Was nimmt man bei Debian, (Kernel 2.6.14, debian_version 3.1) , als Firewall? Die Kiste, die ich im Moment unter mir habe,
ist im Internet and hat die ports 22, 80 und 8080 und 8009 offen, wie ich gerade
festgestellt habe. Ich will aber die ports 8080 und 8009 zumachen bzw. nur für einige
hosts erlauben.

Ich habe hier mal kurz in den Foren gesucht, bin aber nicht so recht fündig geworden.

Kann mir jemand einen Einstiegspunkt geben? Was für ein Paket hole ich mir? Muß ich
den Kernel dafür noch speziell konfigurieren?

Danke im voraus.

aspettl · Beitrag von **aspettl** » 12.04.2006 18:07:31

Für iptables solltest du dir ein Tutorial suchen, ich kenne mich da auch nicht speziell aus, dass ich hier etwas sinnvolles sagen kann (wüsste nicht, dass man da spezielle Pakete braucht).

Ich benutze für meinen Server shorewall, das benutzt (wie eigentlich alle?) iptables, ist aber ein wenig einfacher zu konfigurieren. Man kann bei Shorewall auch eine Konfiguration "testen", das ist vor allem bei der Konfiguration über ssh wichtig, da man sich sonst schnell selbst aussperrt

Gruß
Aaron

daFreak · Beitrag von **daFreak** » 12.04.2006 18:17:45

keine kernel-konfiguration

Code: Alles auswählen

man iptables

aber im forum findest du genug einstiegspunkte z.B
http://www.debianforum.de/forum/viewtopic.php?t=3419
auch im wiki ist ein script

elias1234 · Beitrag von **elias1234** » 12.04.2006 23:03:17

http://qtables.radom.org/

sehr nettes script um regeln für iptables zu erstellen
ich hoffe das hilft dir weiter
mfg
elias

Krischu · Beitrag von **Krischu** » 13.04.2006 10:46:32

elias1234 hat geschrieben:http://qtables.radom.org/

sehr nettes script um regeln für iptables zu erstellen
ich hoffe das hilft dir weiter
mfg
elias

Nur leider nicht für Debian. Und so verlagert sich das Problem, so daß man jetzt ein quick-install für Quick-Tables braucht.

Auch die Instruktionen für die manuelle Installation von quicktables sind nicht sehr hilfreich.

rc.firewall nach /usr/local/sbin kopieren? Seit wann haben rc -Skripte etwas in sbin-Verzeichnissen zu suchen?

Ich hab's mal nach /etc kopiert. Nun soll das aufgerufen werden aus rc.local.
Debian hat anscheinend kein rc.local. Was wäre das äquivalente Skript unter Debian?

phoenix79 · Beitrag von **phoenix79** » 13.04.2006 10:58:36

vuurmuur

meandtheshell · Beitrag von **meandtheshell** » 13.04.2006 11:06:54

@Krischu
Alles was bis jetzt so beim Namen genannt wurde ist ja nicht schlecht aber dabei geht es schon um die konkrete Anwendung von Hintergrundwissen. Dieses musst du dir zuerst aneignen.

Siehe dazu:
http://www.pl-berichte.de/t_netzwerk/iptables.html <--- zum warm werden
http://iptables-tutorial.frozentux.net/ ... orial.html <--- dive in _much_ deeper

Erst danach hat es Sinn wenn du ein script für dich schreibst. Du solltest ja wissen was welche Regel bewirkt etc. Wichtig ist auch nur das du einen Linux Kernel hast der Iptables als modul oder fest in den Kernel kompiliert hat. Welche Distribution man verwendet ist egal.

Iptables ist ein Paketfilter welcher Teil einer Firewall ist. Iptables selber ist keine Firewall. http://en.wikipedia.org/wiki/Iptables

Von Frontends wie
- shorewall
- ipcop
- firestarter
- vuurmuur
- etc.
rate ich Anfängern ab.

Der Grund ist das diese alle eine Abstraktionsschicht höher angesiedelt sind und es dazu führt das dieser User nie richtig verstehen wird was er eigentlich macht weil er sich Anfangs nicht die Zeit genommen hat sich einmal ein paar Wochen mit den Grundlagen zu beschäftigen.

markus

Krischu · Beitrag von **Krischu** » 13.04.2006 11:46:01

phoenix79 hat geschrieben:vuurmuur

Ja, Brandmauer, ich weiß

Aber ich bin jetzt mit quicktables fertig. Firewall steht. Nur ports 22 und 80 auf. Habe das
quicktables Skript laufen lassen und rc.firewall nach /etc kopiert, sodann in
/etc/init.d/networking hinter ifup -a den Aufruf /etc/rc.firewall gesetzt (chmod 744 /etc/firewall natuerlich) und dann einmal von Hand - der spannende Moment - während ich über ssh eingeloggt war, das Skript /etc/rc.firewall einmal aufgerufen.

Alles läuft noch und mein mySQL port 3306, der vorher auf war, ist jetzt zu, nur noch 22 und 80
auf.

Ich benutze normalerweise ipfw unter FreeBSD. Also Hintergrundwissen ist schon da, nur iptables kannte ich noch nicht und ich wollte einfach schnell fertig sein.

Das Quicktables-Skript hat mir dabei sehr geholfen. Vielen Dank noch mal hier für die guten Tips.

Schön ist ja auch, daß man über port 22 an jeden port intern hineintunneln kann:

Auf dem client (der Rechner außerhalb des Firewalls):

Code: Alles auswählen

ssh -L 7777:server.domain:8080 user@server.domain more

Und dann auf dem client z.B. http://server.domain:7777/ und man ist auf port 8080 des servers.

(das more dient nur zum Aufrechterhalten der Verbindung, 7777 ist eine willkürlich gewählte Portnummer, 8080 ist die Zielport auf dem Server, die ich von außen ansprechen will).

Gehört zwar nicht hierher, ist aber vielleicht ganz nützlich, wenn man durch einen Firewall hindurchtunneln will.

nepos · Beitrag von **nepos** » 13.04.2006 12:36:04

Wenn du bei ssh noch den Schalter -N nimmst, brauchst nicht mal das more.

Krischu · Beitrag von **Krischu** » 13.04.2006 12:56:58

nepos hat geschrieben:Wenn du bei ssh noch den Schalter -N nimmst, brauchst nicht mal das more.

Der ist auch gut