Linux Firewall

[ikonos]

Hallo,
ich habe einen Vserver und betreibe diesen jetzt schon ein halbes Jahr.
Hab da einen (gesicherten) Mailserver und einen Web und FTP Server drauf laufen.
Alles läuft unter Debian 3.1.

Nun, auf dem Server habe ich keine richtige Firewall laufen.
Wollte mal fragen ob das nötig ist und wenn ja ob ihr mir da was einfaches empfehlen könnt.
IPchains oder tables finde ich nicht einfach.
Gibts da was leicht zu installierendes?

danke

[mcheizer]

Hey,

erstmal sollte jeder Server der Dienste anbietet, eine Firewall haben!
Wenn Dir Iptales und ipchains nicht liegt, dann nehme doch Shorewall!
Shorewall nutzt im Hintergrund iptables um eine Firewall aufzubauen.

Links:
http://de.wikipedia.org/wiki/Shorewall
http://shorewall.net/
http://www.slixs.at/web/dokus/sarge/shorewall.htm

Hier solltest Du alle Infos darüber bekommen.

Grüße
mcheizer

[ikonos]

hi
also
folgende konfig habe ich gemacht, da der server produktiv ist möchte ich sicher gehen, dass nichts schief geht:

Code: Alles auswählen

ACCEPT    net       $FW             tcp          21
ACCEPT    net       $FW             tcp          22
ACCEPT    net       $FW             tcp          25
ACCEPT    net       $FW             tcp          53
ACCEPT    net       $FW             tcp          80
ACCEPT    net       $FW             tcp          110
ACCEPT    net       $FW             tcp          143
ACCEPT    local     $FW             tcp          3306
ACCEPT    local     $FW             tcp          9876

Sprich also, FTP, SSH, Mail, DNS, Web, POP3, IMAP, MySQL, und VHCS....
irgend etwas wichtiges vergessen?

/edit meandtheshell
Grund: code in code tags verbannt - bitte in Zukunft darauf achten - danke

[ikonos]

mh...irgendwie sieht das bei mir nicht alles so aus wie in den tutorials....
hab z.b. keine datei /etc/shorewall/interfaces und auch keine mit rules, nur eine ganz allgemeine shorewall.conf...

[mcheizer]

Die fehlenden Dateien (*.conf) musst Du selber anlegen!!
Ggf. einfach per Drag'and'Drop kopieren und anpassen.

Folgende Dokus kannst Du auf der Site von Shorewall finden:
http://shorewall.net/standalone.htm
http://shorewall.net/two-interface.htm
http://shorewall.net/three-interface.htm

Zudem findest Du da die FAQ:
http://shorewall.net/2.0/FAQ.htm
http://shorewall.net/FAQ.htm

Einfach mal anschauen und probieren.

Grüße
mcheizer

[berlinerbaer]

in dem Zusammenhang hätte ich mal eine Frage:
für eine normale Workstation mit Debian-Sarge ist da das Programm kmyfirewall ausreichend? Da sich das ja alles irgendwie automatisch konfiguriert, ist das Programm überhaupt ein Schutz? Wo kann man prüfen, was alles geblockt wird und wann ?

[meandtheshell]

in dem Zusammenhang hätte ich mal eine Frage:
für eine normale Workstation mit Debian-Sarge ist da das Programm kmyfirewall ausreichend?

Was ist eine normale Workstation? Was ist eine anormale Workstation?

Da sich das ja alles irgendwie automatisch konfiguriert, ist das Programm überhaupt ein Schutz?

- was passiert automatisch?
- ein Schutz wogegen?

Wo kann man prüfen, was alles geblockt wird und wann ?

Du machst einen Praxistest.
Wo? Dort wo dein PC steht mit deinem PC.

markus

[mcheizer]

KMyFirewall stellt eine grafische Oberfläche für iptables zur Verfügung.
Also "fast" das gleiche wie mit Shorewall!!

Nur das damit IPtables direkt verarbeitet und eingerichtet wird. Shorewall hat den Ansatz, das es für Leute mit wenig Erfahrung von IPtables ist.

Wie man eine Firewall testen kann, findest Du im Internet.

Als Einleitung hier einige Stichwörter:
http://tomfi.net/helpdesk/Scanner/nmap/index.html
http://www.heise.de/security/dienste/portscan/
http://www.port-scan.de

Grüße
mcheizer

[berlinerbaer]

@meandtheshell:
das nutzt mir eigentlich jetzt nicht viel

Erstens, es ist kein Server, weil hier immer meist nur von Servern die Rede, zum zweiten die Einrichtung von kmyfirewall geschieht einfach nur durch Mausklick und dann guckt das System, bin ich ein Gentoo-Rechner oder nicht, und zwei weitere Mausklicks "install firewall" und "run firewall". Mehr kriege ich nicht zu sehen und hätte doch etwas mehr gewußt.

Und wie soll ich den Selbsttest machen? mit den Testseiten im Internet? z.B.
http://seccheck.onsite.ch/
oder ähnliche? Da habe ich mittlerweile wenig Vertrauen, denn ich habe gemerkt, dass auch Rechner Bestwerte erzielten, auf denen gar kein Firewall installiert war.

[berlinerbaer]

Was bedeutet das denn jetzt:

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) am 2006-05-18 09:52 Uhr
Das Zielsystem ist down oder das ICMP-Protkoll ist blockiert !!!
Nmap beendet: 1 IP Adresse (0 hosts up) gescannt in 2.171 Sekunden

Drei Ausrufezeichen sind doch sicher nichts Gutes ?!

[meandtheshell]

@meandtheshell:
das nutzt mir eigentlich jetzt nicht viel

Nicht böse gemeint aber:
- du stellst Fragen die viel zu ungenau formuliert sind
- teilweise aus Vermutungen bestehen
- wild durcheinander sind
- man hat das Gefühl das du zu faul bist dich in diverse Literatur einzulesen
- das Forum ist nicht Google
- von anderen zu erwarten, dass sie für dich im WWW Informationen suchen ist nicht sinnvoll

Als Beispiel kann man deine Frage in diesem Thread oder das [1] nehmen.
[1] http://www.debianforum.de/forum/viewtopic.php?t=67643

Lies dir die Thematik "wie man eine Frage stellt" (siehe meine Signatur) einmal durch.

markus

[berlinerbaer]

gut, aber beide Beiträge von dir haben mir auf die erstgestellte Frage nichts gebracht. So hat eben jeder seine Sichtweise und sein Ergebnis.

Hättest du geschrieben, kmyfirewall speichert seine Einstellungen in der und der Art ab und die andere Anwendung xyz ist spezieller und besser, hätte es gereicht, statt hier den Pauker zu spielen.
Mehr wollte ich nicht wissen.

[meandtheshell]

gut, aber beide Beiträge von dir haben mir auf die erstgestellte Frage nichts gebracht. So hat eben jeder seine Sichtweise und sein Ergebnis.

Hallo, ich denke keiner von uns ist ein Pauker. Ich habe z.B. gestern viel Kritik über ein Paper bekommen das ich geschrieben habe. Das hat mir sehr geholfen weil ich nun eine andere Sicht der Dinge habe und es in Zukunft besser machen kann. Die Kritik die wir hier (im Forum) aneinander üben ist ja von diesem Schlag. Sie hilft uns. Durch Kritik entsteht ein am Ende besseres Ergebniss also ohne, eines das Stand hält gegenüber Zweifeln etc.

Zur Frage:
Ich bin eben nicht in der Lage konkret zu antworten weil ich nicht genau weiß worauf du hinaus willst. Du hast also Recht - ich habe bisher nichts dazu beigetragen was dir hilft. Das mache ich aber gerne wenn ich das Problem sehe/verstehe.

markus

[berlinerbaer]

die Frage ist doch die, ob ein Laie in der Lage ist, seine Frage so zu formulieren, wie ein Experte das von Gleichartigen erwartet. Und das kann man mit Nein beantworten. Oder gehst Du zum Arzt und sagst dem, dass dein Jugularvenenimpuls nicht funktioniert und er nun feststellen soll, ob du eine Rechtsherzinsuffizenz hast. Auch Nein. Du gehst hin und erzählst ihm weitschweifig, dass du ein Stechen in der Brust hast, dass du Nachts schweißgebadet wach wirst, dass du frühmorgens ein Stechen zwischen Schulterblättern hast, dass dir die Luft fehlt, wenn du Treppen steigst und noch viele Anzeichen mehr . . . .

Was wäre das für ein Arzt, wenn er dass dann alles nicht hören will und ihm der Patient sich zu unfachlich äußertt und wenn er ihm das Studium der Literatur empfehlen würde.
Es ist nun zwar hier nicht ganz so, aber wenigstens ähnlich. Den Hinweis Google zu befragen, habe ich verinnerlicht.

Und weil Du Bezug auf den Chipkarten-Thread nimmst, da schweigt sich nämlich Google aus - es ist durchaus möglich in Noname-USB-Kartenlesern, die universell für Foto-, Handy- und HBCI-Banking-Karten angeboten werden, diese Karte zu mounten, inhaltlich darzustellen und schließlich die Darten zu stehlen. Ich habe meine persönliche Karte gestern in einem solchen USB-HBCI Chipkartenleser SCR3310 wie ein Laufwerk öffnen können! Ich warte z.Z. nur noch auf eine Antwort der Firma Reiner SCT, der ich die Ergebnisse und die Screenshots hingeschickt habe.
Die Empfehlung der MoneyPenny-Entwickler, einen USB-Stick als Sicherheitsmedium zu verwenden, ist ja dann auch ein Ding, was übel nach hinten losgehen kann.

[meandtheshell]

die Frage ist doch die, ob ein Laie in der Lage ist, seine Frage so zu formulieren, wie ein Experte das von Gleichartigen erwartet.

Natürlich kann er das nicht. Ein Experte kann dem Laien aber nicht helfen wenn dieser nicht in der Lage ist eine Frage (ohne Experten Wissen vorauszusetzen) so zu stellen, dass es einen Anhaltspunkt gibt von dem weg man sich zusammen vorarbeiten kann. Der Link in meiner Signatur hat dazu ein paar sehr gute Beispiele die zeigen was ich meine.

Das sage ich ganz generell ohne auf eine bestimmte Person Bezug zu nehmen:
Man kommt zu keiner Problemlösung wenn man nicht die richtige Fragestellung wählt. Gestern habe ich das am eigenen Leibe erfahren. Ist dem so muss man zum Ausgangspunkt zurück und die Fragestellung relativieren oder die Zielsetzung adaptieren usf.

Es ist für beide Parteien unbefriedigend wenn nicht mit einer "richtigen" Fragestellung begonnen wird. Der, der in der Lage wäre zu antworten versteht evtl. nicht worauf jener der fragt hinausmöchte und der Fragende fühlt sich mißverstanden oder genervt. Beides ist sehr schlecht. Schuld ist keine der beiden Personen sondern die Fragestellung.

FAZIT
Die richtige Fragestellung zu finden ist das A und O auf dem Weg zur entgültigen Lösung einens Problems.

markus

[Webermaster]

@meandtheshell,

Ich habe das Gefühl, der 'Experte' mcheizer konnte dem 'Laien' peterschubert helfen.

Alex

[meandtheshell]

@meandtheshell,
Ich habe das Gefühl, der 'Experte' mcheizer konnte dem 'Laien' peterschubert helfen.

Ja - das ist möglich. Aber hast du nur ein Gefühl oder bist du dir sicher? Du kannst Recht haben und die Links sind das was Peter haben wollte oder eben nicht. Das ist ja der Dreh und Angel Punkt. Nicht alles funktioniert nach der Try and Error Methode. Stell dir vor wie Threads aussehen wenn man ca. 10 Postings benötigt bis in groben Zügen klar ist was den eigentlich das Problem ist. Das kostet einer Community enorme Mengen an Zeit!

markus

[berlinerbaer]

@meandtheshell,

Ich habe das Gefühl, der 'Experte' mcheizer konnte dem 'Laien' peterschubert helfen.

Alex

definitv, konnte er vielen Dank nochmals