Router Absicherung

[steffi83]

Mahlzeit,

da mein bisheriger WLAN-Router den Geist aufgeben hat, habe ich meinen HP MicroGen Server
als Router konfiguriert. Das funktioniert soweit wunderbar.

Meine Frage ist ob es reicht, alles via iptables zu blocken was auf dem NIC der am DSL-Modem hängt zu blocken, oder sollte/muß ich
noch weiter Maßnahmen zur Absicherung ergreifen?
Der Server soll, sobald die Festplatten da sind, noch als lokaler Fileserver dienen.

NIC eth0: hängt am DSL-Modem
NIC eth1: geht auf einen einfachen Netzwerkswitch

Code: Alles auswählen

#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

#
# delete all existing rules.
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Default drop anything, except OUTPUT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP

# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Masquerade.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Don't forward from the outside to the inside.
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

Bin offen für Tipps und Hinweise.

Gruß

[rendegast]

Ich empfehle ein frontend für iptables (weniger nftables).
Such-Tags network::firewall / security::firewall
resp.
"welche Pakete benötigen Paket:iptables?"




Alternativ doch wieder was dediziertes, opensource?
Von TP-Link (-> OpenWrt), längerfristig ~ 16MB flash, 64MB ram.
~ 60-90Eu ~ Bsp. Geräte der Archer-Baureihen (~ 10-20Watt)
<- OpenWrt-Kompatibilität auf deren Webseite, Geräte-Revisions beachten.
(Ich habe mich verklickt, und ein WR-1043ND v2 mit 8MB/64MB gekauft
(Gehäuse gleich einem ArcherC5/C7, die 25Eu weniger hätten mich stutzig machen sollen),
habe nur ~4MB für zusätzliche Pakete)

[eggy]

Warum iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP wenn die policy eh auf drop steht?

Desweiteren würde ich mir sehr gut überlegen, ob es ne gute Idee ist Deinen Fileserver direkt ans Internet zu hängen. Insbesondere falls dort auch "persönliche Daten" liegen. Denn leider kommt es doch mal vor, dass aus irgendnem blöden Grund die Kiste offener ist als sie sein sollte (Fehlkonfiguration, amoklaufender Dienst, Fehler in nem Paket, Script verhält sich nach Update anders als erwartet, etc).

[steffi83]

Hi,

danke euch erstmal für die Antworten.
Habe mir gedacht, da der Server dann eh 24/7 laufen soll, könnte ich ihn auch gleich als Router verwenden.

Mittlerweile bin ich jedoch von diesem Vorhaben wieder weg (gerade auch wegen der Sicherheit meiner Daten), und hab mir nen TP-Link Router gekauft. Nun mal noch sehen ob ich die originale Firmware drauf lasse oder auf Openwrt gehe. Eigentlich reicht die Originale soweit für mich aus.


Grüße

[r4pt0r]

alles via iptables zu blocken was auf dem NIC der am DSL-Modem hängt

Wenn es sich wirklich um ein Modem bzw einen Plastikrouter im Modem/Passthrough-Betrieb handelt und dein Gateway selber die PPPoE-Verbindung aufbaut, bringt die blockingregel auf ethN nichts - pppN wird als eigenes Interface behandelt.

Sehr hilfreich auch für umfangreichere Setups ist shorewall - dann muss man sich nicht mit dem gräßlichen/inkonsistenten und unlesbaren iptables-syntax rumschlagen. Shorewall ist zwar auch nicht gerade "Menschenlesbar", aber IMHO so verständlich und übersichtlich wie es mit iptables eben möglich ist.

Wenn sowieso dedizierte Hardware verfügbar ist lohnt ggf ein blick auf PFsense, OPNsense oder smallwall bzw auch "vanilla" FreeBSD. Die Config für PF ist _wesentlich_ Hirnfreundlicher als iptables