Firewallscripts

[trozmo]

ja ... standartmäßig ist der firewall natürlich zu


ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?

als erstes: womit wählst du dich ein ?

isdn ?
adsl ?

die äußere karte taucht in der config gar nicht auf. nur das "virtuelle adapter" ppp.
ich weisse meiner äußeren karte in der interfaces auch keine ip zu, da an dieser kein tcp/ip benötigt wird, sondern nur pppoe. somit taucht sie gar nicht in der interfaces auf.

vielleicht ist das ja bei dir anders.

somit siehts dann so aus:

zeile 19-20:

Code: Alles auswählen

ife="ppp0"
ifi="eth1"

zeile 55-62:

Code: Alles auswählen

hs2lc[0]="all" #alle services im lan verfügbar
hc2ls[0]="all" #clienten im lan, welche dem host verfügbar sein sollen
hs2ic[0]="443" #services an wan -->  dein ssl-server
hc2is="all" # services, welche dem host verfügbar sein sollen
l2i[0]="all" # internetservices, welche den clienten hinter der firewall verfügbar sein sollen

ftp_type="both" # oder active oder passive
lans_visible_at_ife="on" # services des hosts, welche über den umweg wan-lan-wan erreichbar sein sollen. somit kannst du diese auch aus dem lan mit deiner öffentlichen ip erreichen.

willst du es restriktiver gestalten, so muss du eben das "all" durch die betreffenden ports ersetzten.

limits hab ich so gelassen.

traffic optimization und logging ebenfalls.

unter "NAT" kannst du portmapping einrichten, falls hinter dem firewall ein extra-server läuft.

unter "services" habe ich ebenfalls alles so gelassen, da dass hier kein firmennetzwerk ist. es sollen praktisch clients keine restriktionen auferlegt werden, sondern nur schutz für das lan geboten werden.

thats all.

[trozmo]

achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:

in der /etc/init.d/klogd
KLOGD="-c 1"

den tip hab ich hier aus dem forum.

[ChinaRot]

ja ... standartmäßig ist der firewall natürlich zu


ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?

... nein, ich bin noch bei dem Firewallscript auf page one in diesem Forum ... ich vermute mal, das ist nicht das selbe ??

als erstes: womit wählst du dich ein ?

isdn ?
adsl ?

... eth1 141.45.xxx.xxx --> keine Einwahl, sondern Standleitung mit fester IP

... ich benutze debian woody mit 2.4er kernel und o.g. Firewallstript ... und würde dies gern für ssh und http öffnen

Daniel

[ChinaRot]

achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:

in der /etc/init.d/klogd
KLOGD="-c 1"

den tip hab ich hier aus dem forum.

... thx - das klingt gut ... werde ich morgen gleich ausprobieren ...

Daniel

[ChinaRot]

achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:

in der /etc/init.d/klogd
KLOGD="-c 1"

den tip hab ich hier aus dem forum.

... hat funktioniert

... habe folgende zeilen in das firewallskript eingefügt:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

... nun kann man auf ssh und Webserver auch von außen zugreifen
... ich hoffe, ich habe mit dieser skriptänderung nicht all zu viel falsch gemacht

Daniel
P.S.: habe von außen mal mit nmap auf die Firewall geschaut und muss sagen, es sieht besser aus als bei der SuSEfirewall2 ... der umstieg auf debian hat sich gelohnt

[elvis00]

hi,
wenn du iptables als modul kompiliert hast dann per modconf rein damit in den kernel.
andernfalls modul kompilieren oder direkt rein damit in den kernel.
am anfang ist es besser es in den kernel reinzukompilieren dann hast du ein problem weniger.
gruss

[trozmo]

ich dachte, iptables wäre eh schon im kernel drin.

[arzie]

muss das nicht so heissen?

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/16 -j DROP

Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 169.254/16 -j DROP

mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt

Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.

[nenads]

ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:

Code: Alles auswählen

Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)

dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!

[glatzor]

Welches Skript denn genau?

Und was für einen Kernel verwendest Du? Alle notwenidgen Module sind in den Standard 2.4 er Kernel enthalten:

"uname -r"

[nenads]

diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?

Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.

Code: Alles auswählen

#!/bin/sh

#-----------------------------------------------
# config
#-----------------------------------------------

IF_INT=eth0
IF_LO=lo

#-----------------------------------------------
# stopFirewall
#-----------------------------------------------

function stopFirewall() {

  # enable all package, but do not forward
  iptables -P INPUT ACCEPT
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  rmmod ip_conntrack_ftp
  rmmod ipt_LOG
}

#-----------------------------------------------
# startFirewall
#-----------------------------------------------

function startFirewall() {
modprobe ip_conntrack_ftp
modprobe ipt_LOG

  iptables -F
  iptables -X

  # drop everything
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP


  # allow everything from IF_LO
  iptables -A INPUT -i $IF_LO -j ACCEPT
  iptables -A OUTPUT -o $IF_LO -j ACCEPT

  # allow all related from IF_INT
  iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

  # allow all outgoing TCP connections to IF_INT
  iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT

  # logg all other destoryed packages
  iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
  iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn

}


###############################################################################
## Start-Stop-Script                                                         ##
###############################################################################

case "$1" in
start)
echo -n "Starting firewall: iptables"
startFirewall
echo "."
;;

stop)
echo -n "Stopping firewall: iptables"
stopFirewall
echo "."
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac

[glatzor]

Entschuldige, ich hatte überlesen, dass Du einen selbstkompilierten Kernel verwedendest. Und hier liegt auch das Problem. Du hast nicht alle notwendingen Module einkompiliert.

Füge alle iptables/netfilter Treiber als Module hinzu oder verwende einen Debian-Standard-Kernel.

[Chimerer]

Firewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.

nachzulesen in der neuen Firewall-Sektion von securityfocus.com

http://www.securityfocus.com/infocus/unix?topic=fwrules

[kox666]

# Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?

Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich

Gruß Marco

[odradeck]

*freu*
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.

Schönen Dank!


@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Di ... f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.

Gruss
odde

[arnem]

Hi @ all...

Habe mir das Lutel-Script mal angesehen. So schlecht dokumentiert ist es nicht.
Wo und wie konfiguriere ich aber Port-Forwarding?

Hintergrund:
zum Spielen und für P2P-Anwendungen muss ich Anragen auf Port XYZ von außen auf eine IP im LAN forwarden.

[carstenBLN]

mit

Code: Alles auswählen

iptables -t nat -A PREROUTING -p <dein_proto> -m <dein_proto> --dport <zielport> -j DNAT --to-destination <deine_workstation_ip:dein_wunschport>

Zum Beispiel: alle http-Anfragen von draußen auf ne Maschine im internen Netz auf nen anderen Port umbiegen:

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:81

Alle Anfragen auf die Wall-IP:80 werden jetzt auf 192.168.1.2:81 umgebaut.

[carstenBLN]

Sinnvoll in jeder Wall als SYN-flood-Protection ist noch die Zeile

Code: Alles auswählen

iptables -I FORWARD -p TCP --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT

wobei die 1/sec auch höher dürfen, je nach Anwendung. Bei nem Hochlast-Webserver kann's auch kleiner sein (zB 10/sec). Die meisten Workstations dürften eh ne Rule haben, die eingehende TCP-Anfragen unterbindet, aber schaden tut's trotzdem nicht.

[copter]

warum wird in den policies bei INPUT erstmal alles erlaubt?

Code: Alles auswählen

# Default-Policies setzen - alles bis auf Weiterleitung erlaubt 
iptables -P INPUT ACCEPT 

ist es nicht sinvoller erstmal allen eingang zu verbieten?

Code: Alles auswählen

iptables -P INPUT DROP 

mfg
copter

[Picknicker]

Weil dann nachfolgende Accept Rules nicht mehr bearbeitet werden da schon alle Packte in der 1. Rule verworfen werden

[pdreker]

Die Policy kann man setzen wie man will. ACCEPT oder DROP haben keinen Einfluss auf die nachfolgenden Regeln, die Policies werden erst angewendet, wenn *alle* Chains durchlaufen wurden.

Ich habe mir das Skript jetzt nicht nochmal angeschaut, aber ich denke entweder werden die Policies am Ende dann noch auf DROP gesetzt, oder die Chains haben an Ihrem Ende jeweils eine explizte Regeln, die alles matched, was soweit gekommen ist, und es dann dropped.

Patrick

[blue_kamil]

Hallo

Ich wollte mal Fragen auch Ihr auch ein script habt das zu Absicherung eines Proxy + Samabs Server geeignet ist. Es wäre doch schwach sinn wenn ich IP-Forwarb betreiben würde??
Danke Kamil

[kenshi]

Was müsste ich in die Firewall schreiben damit oidentd richtig funktioniert?

[BrianFFM]

Das Firewall Thema ist für mich immer das mit interessanteste Thema gewesen .. nur habe ich leider nie die Zeit mich mal mit iptables genauer auseinander zu setzen.

für alle die es gerne leicht haben und den syntax nicht verstehen ist der fwbuilder absolut gut .. der hat mir gute Dienste geleistet.

Vorteil: durch die Oberfläche lernt man zunächst einmal die Regeln zu verstehen. Was die Voraussetzung für eine Firewall ist.

Nachteil: ist so nett zu bedienen, daß man nie iptables lernt

*smile*

Gruß, Brian