Firewallscripts
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Hi,
was für einen Kernel hast du den? Beim 2.4er (bf2.4) von woody ist das Modul dabei.
Wenn du das hast was per default installiert wird, dann hast du einen 2.2er und solltest mal einen neuen Kernel installieren. Welche Version du hast bekommst du mit uname -r heraus.
by, Martin
was für einen Kernel hast du den? Beim 2.4er (bf2.4) von woody ist das Modul dabei.
Wenn du das hast was per default installiert wird, dann hast du einen 2.2er und solltest mal einen neuen Kernel installieren. Welche Version du hast bekommst du mit uname -r heraus.
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Hi
... eigentlich sollte woody laufen (stand auf der CD)
... der Befehl uname -r bringt folgende Meldung: "2.2.20-idepci"
... ich wollte mit "apt-get install ip_tables" das Packet nachinstallieren
... apt-get meldete jedoch, daß ip_tabels schon istalliert und in der neusten Version ist
... die Fehlermeldung bleibt jedoch die selbe ...
... wenn ip_tabels installiert ist, jedoch nicht im Kernel kompeliert ist - kann ich ip_tables doch extra laden, oder ? und wie geht das? (für denn Fall das es einfacher ist als die ip_tables in den Kernel zu kompelieren)
Daniel
... eigentlich sollte woody laufen (stand auf der CD)
... der Befehl uname -r bringt folgende Meldung: "2.2.20-idepci"
... ich wollte mit "apt-get install ip_tables" das Packet nachinstallieren
... apt-get meldete jedoch, daß ip_tabels schon istalliert und in der neusten Version ist
... die Fehlermeldung bleibt jedoch die selbe ...
... wenn ip_tabels installiert ist, jedoch nicht im Kernel kompeliert ist - kann ich ip_tables doch extra laden, oder ? und wie geht das? (für denn Fall das es einfacher ist als die ip_tables in den Kernel zu kompelieren)
Daniel
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Ja, das kannst du normalerweise als Modul einbinden. Wenn das Modul aber nicht da ist, dann kann es auch nicht geladen werden.
by, Martin
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Hi
... also ich habe nochmal ein bissel im Inet gesucht :
1. so wie es aussieht habe ich den Kernel 2.2 installiert
(was schon mal peinlich ist, denn es sollte der 2.4 sein)
2. iptables sind erst ab 2.4 im kernel
(wenn ich das richtig verstanden habe)
3. iptabels liegen bei mir im Ordner /sbin
4. das script funktioniert trotzdem nicht
... daher vermuhte ich mal ich muss die iptables noch in den Kernel kompelieren
... gibt es irgendwo eine (halbwegs) idiotensichere, deutsche Anleitung dafür ?
Thx
Daniel
... also ich habe nochmal ein bissel im Inet gesucht :
1. so wie es aussieht habe ich den Kernel 2.2 installiert
(was schon mal peinlich ist, denn es sollte der 2.4 sein)
2. iptables sind erst ab 2.4 im kernel
(wenn ich das richtig verstanden habe)
3. iptabels liegen bei mir im Ordner /sbin
4. das script funktioniert trotzdem nicht
... daher vermuhte ich mal ich muss die iptables noch in den Kernel kompelieren
... gibt es irgendwo eine (halbwegs) idiotensichere, deutsche Anleitung dafür ?
Thx
Daniel
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Muß dir nicht peinlich sein, kann passieren.ChinaRot hat geschrieben:1. so wie es aussieht habe ich den Kernel 2.2 installiert
(was schon mal peinlich ist, denn es sollte der 2.4 sein)
ja2. iptables sind erst ab 2.4 im kernel
In /sbin/ liegt das Programm iptables. Die eigentliche Tabelle ist irgendwo in deinem Speicher.3. iptabels liegen bei mir im Ordner /sbin
Wenn du einen 2.4er von Debian installiert hast, dann sollte da alles für die ip_tables drin sein.daher vermuhte ich mal ich muss die iptables noch in den Kernel kompelieren
Versuch mal folgende: by, Martingibt es irgendwo eine (halbwegs) idiotensichere, deutsche Anleitung dafür ?
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
hat hier schon mal jemand das iptables-webmin-tool zum laufen bekommen ?
btw. das lutel-firewall-script ist ja hammerhart --> http://energoprojekt.pl/~lutel/firewall/
funktioniert astrein und ist definitiv ein dickes ding.
btw. das lutel-firewall-script ist ja hammerhart --> http://energoprojekt.pl/~lutel/firewall/
funktioniert astrein und ist definitiv ein dickes ding.
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Jo, die Lutel ist schon ziemlich ausgefeilt, aber ich finde die Config etwas "unübersichtlich". Ich bleibe lieber bei meinem Script, das zwar nicht so ausgetüftelt ist, aber dafür auch schlanker...
Patrick
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
mmh ... ich finde, er hat prima dokumentiert. ich komme jetzt gut damit zurecht (denke ich )pdreker hat geschrieben:Jo, die Lutel ist schon ziemlich ausgefeilt, aber ich finde die Config etwas "unübersichtlich". Ich bleibe lieber bei meinem Script, das zwar nicht so ausgetüftelt ist, aber dafür auch schlanker...
Patrick
aber nach dem konfig-teil wirds heftig ich dachte, dass das einzige (?) script, welches bei netfilter.org verlinkt ist, ja nicht so übel sein kann.
ich weiss es nicht mehr so genau, wie die fehlermeldung aussah ... ungefähr so kryptisch wie mein webmin-quota-fehler:arteist hat geschrieben:Ja, bei mir läuft es ohne Probleme...was kommt den bei dir für ein Fehler?
Code: Alles auswählen
mount::list_mounted failed : Undefined subroutine &mount::list_mounted called at (eval 15) line 2
Httpd und sshd
Hi
... erstmal Danke für das Skript und die Tips ... inzwischen läuft der Router und die Firewall funktioniert auch ... nur leider ein bissel zu gut
so sieht es aus :
eth 0 --> internes Interface 192.168.xxx.xxx
eth 1 --> externes Interface 141.45.xxx.xxx
auf dem router läuft auch noch ein Webserver und sshd
das benötige ich:
1. die Nachrichten vom Firewallskript landen immer auf dem Bildschirm (was ziemlich nervig ist) ... kann man die Ausgaben des Firewallskrips generell vom Bildschirm verbannen und in ein Log-file umleiten ? Was muss ich dazu im Skript ändern ?
2. der Webserver soll von außen unter der IP 141.45.xxx.xxx zugänglich sein, aber auch für die Clienten von Innen über die IP 141.45.xxx.xxx ... Wo muss ich welche Änderung vornehmen ??
3. ssh soll von außen über die IP 141.45.xxx.xxx zu erreichen sein ... Wo muss ich welche Änderung vornehmen ??
Iptables sind ganz schön starker Tobak ... da braucht ein noob wie ich doch etwas mehr Hilfe - Thx im Vorraus !!
Daniel
... erstmal Danke für das Skript und die Tips ... inzwischen läuft der Router und die Firewall funktioniert auch ... nur leider ein bissel zu gut
so sieht es aus :
eth 0 --> internes Interface 192.168.xxx.xxx
eth 1 --> externes Interface 141.45.xxx.xxx
auf dem router läuft auch noch ein Webserver und sshd
das benötige ich:
1. die Nachrichten vom Firewallskript landen immer auf dem Bildschirm (was ziemlich nervig ist) ... kann man die Ausgaben des Firewallskrips generell vom Bildschirm verbannen und in ein Log-file umleiten ? Was muss ich dazu im Skript ändern ?
2. der Webserver soll von außen unter der IP 141.45.xxx.xxx zugänglich sein, aber auch für die Clienten von Innen über die IP 141.45.xxx.xxx ... Wo muss ich welche Änderung vornehmen ??
3. ssh soll von außen über die IP 141.45.xxx.xxx zu erreichen sein ... Wo muss ich welche Änderung vornehmen ??
Iptables sind ganz schön starker Tobak ... da braucht ein noob wie ich doch etwas mehr Hilfe - Thx im Vorraus !!
Daniel
ja ... standartmäßig ist der firewall natürlich zu
ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?
als erstes: womit wählst du dich ein ?
isdn ?
adsl ?
die äußere karte taucht in der config gar nicht auf. nur das "virtuelle adapter" ppp.
ich weisse meiner äußeren karte in der interfaces auch keine ip zu, da an dieser kein tcp/ip benötigt wird, sondern nur pppoe. somit taucht sie gar nicht in der interfaces auf.
vielleicht ist das ja bei dir anders.
somit siehts dann so aus:
zeile 19-20:
zeile 55-62:
willst du es restriktiver gestalten, so muss du eben das "all" durch die betreffenden ports ersetzten.
limits hab ich so gelassen.
traffic optimization und logging ebenfalls.
unter "NAT" kannst du portmapping einrichten, falls hinter dem firewall ein extra-server läuft.
unter "services" habe ich ebenfalls alles so gelassen, da dass hier kein firmennetzwerk ist. es sollen praktisch clients keine restriktionen auferlegt werden, sondern nur schutz für das lan geboten werden.
thats all.
ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?
als erstes: womit wählst du dich ein ?
isdn ?
adsl ?
die äußere karte taucht in der config gar nicht auf. nur das "virtuelle adapter" ppp.
ich weisse meiner äußeren karte in der interfaces auch keine ip zu, da an dieser kein tcp/ip benötigt wird, sondern nur pppoe. somit taucht sie gar nicht in der interfaces auf.
vielleicht ist das ja bei dir anders.
somit siehts dann so aus:
zeile 19-20:
Code: Alles auswählen
ife="ppp0"
ifi="eth1"
zeile 55-62:
Code: Alles auswählen
hs2lc[0]="all" #alle services im lan verfügbar
hc2ls[0]="all" #clienten im lan, welche dem host verfügbar sein sollen
hs2ic[0]="443" #services an wan --> dein ssl-server
hc2is="all" # services, welche dem host verfügbar sein sollen
l2i[0]="all" # internetservices, welche den clienten hinter der firewall verfügbar sein sollen
ftp_type="both" # oder active oder passive
lans_visible_at_ife="on" # services des hosts, welche über den umweg wan-lan-wan erreichbar sein sollen. somit kannst du diese auch aus dem lan mit deiner öffentlichen ip erreichen.
limits hab ich so gelassen.
traffic optimization und logging ebenfalls.
unter "NAT" kannst du portmapping einrichten, falls hinter dem firewall ein extra-server läuft.
unter "services" habe ich ebenfalls alles so gelassen, da dass hier kein firmennetzwerk ist. es sollen praktisch clients keine restriktionen auferlegt werden, sondern nur schutz für das lan geboten werden.
thats all.
... nein, ich bin noch bei dem Firewallscript auf page one in diesem Forum ... ich vermute mal, das ist nicht das selbe ??trozmo hat geschrieben:ja ... standartmäßig ist der firewall natürlich zu
ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?
... eth1 141.45.xxx.xxx --> keine Einwahl, sondern Standleitung mit fester IPtrozmo hat geschrieben: als erstes: womit wählst du dich ein ?
isdn ?
adsl ?
... ich benutze debian woody mit 2.4er kernel und o.g. Firewallstript ... und würde dies gern für ssh und http öffnen
Daniel
... hat funktionierttrozmo hat geschrieben:achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:
in der /etc/init.d/klogd
KLOGD="-c 1"
den tip hab ich hier aus dem forum.
... habe folgende zeilen in das firewallskript eingefügt:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
... nun kann man auf ssh und Webserver auch von außen zugreifen
... ich hoffe, ich habe mit dieser skriptänderung nicht all zu viel falsch gemacht
Daniel
P.S.: habe von außen mal mit nmap auf die Firewall geschaut und muss sagen, es sieht besser aus als bei der SuSEfirewall2 ... der umstieg auf debian hat sich gelohnt
muss das nicht so heissen?
Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein
mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt
Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.
Code: Alles auswählen
iptables -A INPUT -i $IFACE_EXT -s 192.168.0.0/16 -j DROP
Und der Ordnung halber sollte dann auch noch ein
Code: Alles auswählen
iptables -A INPUT -i $IFACE_EXT -s 169.254/16 -j DROP
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt
Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.
ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:
dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!
und folgendes ist pasiert:
Code: Alles auswählen
Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!
diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?
k-pl hat geschrieben:Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.
Code: Alles auswählen
#!/bin/sh #----------------------------------------------- # config #----------------------------------------------- IF_INT=eth0 IF_LO=lo #----------------------------------------------- # stopFirewall #----------------------------------------------- function stopFirewall() { # enable all package, but do not forward iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -F iptables -t nat -F iptables -X iptables -t nat -X rmmod ip_conntrack_ftp rmmod ipt_LOG } #----------------------------------------------- # startFirewall #----------------------------------------------- function startFirewall() { modprobe ip_conntrack_ftp modprobe ipt_LOG iptables -F iptables -X # drop everything iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # allow everything from IF_LO iptables -A INPUT -i $IF_LO -j ACCEPT iptables -A OUTPUT -o $IF_LO -j ACCEPT # allow all related from IF_INT iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT # allow all outgoing TCP connections to IF_INT iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT # logg all other destoryed packages iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn } ############################################################################### ## Start-Stop-Script ## ############################################################################### case "$1" in start) echo -n "Starting firewall: iptables" startFirewall echo "." ;; stop) echo -n "Stopping firewall: iptables" stopFirewall echo "." ;; restart) $0 stop $0 start ;; *) echo "Usage: firewall {start|stop|restart}" exit 1 ;; esac
nachzulesen in der neuen Firewall-Sektion von securityfocus.comFirewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.
http://www.securityfocus.com/infocus/unix?topic=fwrules
[ jabber ] chimerer@amessage.de
Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?k-pl hat geschrieben: # Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich
Gruß Marco
Computer sind nichts anderes als in Silizium geätzte Heimtücke!
- Michael Rüttger
- Michael Rüttger