bei mir wiedermal Netzwerk und Firewall

[berlinerbaer]

Hallo,
ich weiß meine Unkenntnis mit den Firewalls ist ätzend; aber ich begreife das trotzdem einfach nicht mehr.
Was bitte kommt denn in diese Datei zones rein?

Code: Alles auswählen

etc/shorewall/zones

Bei mir steht z.Z. das drin, muss durch das System so erfolgt sein:

Code: Alles auswählen

#ZONE       TYPE      OPTIONS
loc         ipv4
loc1:loc    ipv4

Aber damit gibt sich shorewall nicht zufrieden:

Code: Alles auswählen

:/etc/shorewall# shorewall start
Compiling...
   ERROR: No firewall zone defined in /etc/shorewall/zones
Terminated
:/etc/shorewall# 

Was versteht man unter der Firewall-Zone? Den Bereich der IPs, die an das Netzwerk angeschlossen sind, vielleicht die betreffenden Ports oder was sonst ?

[Duff]

Die Syntax von shorewall kenne ich auch nicht, aber warum setzt du nicht einfach iptables ein?

[berlinerbaer]

Ich muss bekennen, dass ich mit 60 das System nicht begreife und sicherlich auch die Lücken nicht mehr aufhole, dann fehlen mir ja auch die Englischkenntnisse . . .
iptables ist installiert, ich dachte immer das wäre die Grundlage für alle Firewalls, sozusagen die Firmware für alle Firewallprogramme ??

[Duff]

Wenn ich es richtig verstanden habe, dann erzeugt shorewall aus den Konfigdateien iptables-Statements.

[rolo]

hi,

ob du jetzt anfangen musst, deine faulheit aufs alter zu schieben weiss ich nicht - egal.
hier findest du erstmal eine deutsche beschreibung:
http://www.kefk.net/linux/administratio ... /index.asp
und dann ist es natürlich nicht ganz leicht zu raten, welche arbeit deine firewall nun genau machen soll.
http://www.shorewall.net/shorewall_quickstart_guide.htm
für eine lokale einzelplatz konfiguration hälst du dich an diesen link:
http://www.shorewall.net/standalone.htm
und übersetzt die teile, welche dir trotz des lesens des ersten links nicht klar werden, eventuell mit:
http://www.google.de/language_tools?hl=de
oder anderem geeigneten gerät.
nicht vergessen zum schluss in '/etc/default/shorewall'

Code: Alles auswählen

startup=1

zu setzen.

viel erfolg

[Duff]

Ist es nicht sinnvoller, sich in iptables einzulesen anstatt eine Software zu benutzen, die eigentlich sowie alles nach iptables übersetzt?

[rolo]

die frage in diesem thread geht ja direkt in richtung shorewall.
zumal shorewall seine arbeit sehr gut macht, gibts eigentlich erstmal keinen grund andere möglichkeiten in den raum zu stellen. wenn, dann hätte ich in diesem speziellen fall eher eine trivialere lösung vorgeschlagen.
nebenbei ist das, was shorewall erstellt, wohl in vielen fällen runder, als ein script was ein anfänger nach kurzer einarbeitungszeit zusammenschreibt.
keine frage natürlich, ich finde auch, dass es sinnvoll ist, sich in iptables einzulesen, um zu verstehen was da passiert.

[schorsch_76]

Hallo,

ich setze Shorewall auch ein. Schon recht lange. Wenn man es einmal verstanden hat, was Zonen und Regeln sind, tut man sich damit recht leicht.

Eine Zone ist bsp der Rechner auf dem deine Firewall läuft. Diese muss FW heissen in der /etc/shorewall/zones.

Ich habe als ausgangspunkt die Konfiguration für einen Einzelrechner genommen

Da du Debian einsetzt findest du unter "/usr/share/doc/shorewall/default-config" Standardkonfigurationen und das /etc/shorewall verzeichnis ist ja anfangs leer.


Gruß

schorsch

[berlinerbaer]

Danke allen erstmal; ich werde mir das heute abend eventuell mal einziehen; ich denke aber, ich komme damit schon deutlich weiter. Nur Zeit habe ich z.Z. nicht, weil ich seit gestern kurzfristig und unerwartet noch eine Überarbeitung eines alten Manuskripts zu erledigen habe.

[berlinerbaer]

Da du Debian einsetzt findest du unter "/usr/share/doc/shorewall/default-config" Standardkonfigurationen und das /etc/shorewall verzeichnis ist ja anfangs leer.
Gruß
schorsch

da ist bei nichts drin ??? Oder muss ich da was auspacken ?

changelog.Debian.gz changelog.gz copyright

[rolo]

da ist sicher '/usr/share/doc/shorewall-common/default-config' gemeint. zumindest ist das unter sid so.

[berlinerbaer]

ich bin entweder zu dämlich oder eine solche Datei gibt es in der Lenny noch nicht

ich habe aber dann iptables genommen und mit der firestarter-GUI "eingerichtet", nicht ohne mich einige Male komplett auszusperren
Ich habe das nicht auf Basis der Blacklist gemacht, sondern mit der Whitelist, quasi alles dicht und dann Stück für Stück das geöffnet, was ich brauche und eingehende Verbindungen ganz verboten.
Ich kann nicht einschätzen, ob das nun sicher ist - sicher ist es aber besser als gar nichts.

Danke nochmals für die Hinweise.