Firewallscripts

Gemeinsam ins Internet mit Firewall und Proxy.
elvis00
Beiträge: 12
Registriert: 06.02.2003 19:26:56
Kontaktdaten:

Beitrag von elvis00 » 08.02.2003 10:06:20

hi,
wenn du iptables als modul kompiliert hast dann per modconf rein damit in den kernel.
andernfalls modul kompilieren oder direkt rein damit in den kernel.
am anfang ist es besser es in den kernel reinzukompilieren dann hast du ein problem weniger.
gruss
...may the packets be with you!!!!

trozmo
Beiträge: 288
Registriert: 05.01.2003 20:01:03
Kontaktdaten:

Beitrag von trozmo » 08.02.2003 12:12:47

ich dachte, iptables wäre eh schon im kernel drin.

arzie
Beiträge: 134
Registriert: 17.02.2002 15:51:03

Beitrag von arzie » 03.03.2003 20:53:48

muss das nicht so heissen?

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/16 -j DROP
Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 169.254/16 -j DROP
mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt

Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.

nenads
Beiträge: 21
Registriert: 11.05.2003 18:50:35
Wohnort: München

Beitrag von nenads » 15.05.2003 19:21:17

ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:

Code: Alles auswählen

Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!

Benutzeravatar
glatzor
Beiträge: 1769
Registriert: 03.02.2002 19:01:46
Wohnort: Vierkirchen bei München

Beitrag von glatzor » 15.05.2003 19:53:35

Welches Skript denn genau?

Und was für einen Kernel verwendest Du? Alle notwenidgen Module sind in den Standard 2.4 er Kernel enthalten:

"uname -r"

nenads
Beiträge: 21
Registriert: 11.05.2003 18:50:35
Wohnort: München

Beitrag von nenads » 15.05.2003 19:55:39

diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?
k-pl hat geschrieben:Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.

Code: Alles auswählen

#!/bin/sh

#-----------------------------------------------
# config
#-----------------------------------------------

IF_INT=eth0
IF_LO=lo

#-----------------------------------------------
# stopFirewall
#-----------------------------------------------

function stopFirewall() {

  # enable all package, but do not forward
  iptables -P INPUT ACCEPT
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  rmmod ip_conntrack_ftp
  rmmod ipt_LOG
}

#-----------------------------------------------
# startFirewall
#-----------------------------------------------

function startFirewall() {
modprobe ip_conntrack_ftp
modprobe ipt_LOG

  iptables -F
  iptables -X

  # drop everything
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP


  # allow everything from IF_LO
  iptables -A INPUT -i $IF_LO -j ACCEPT
  iptables -A OUTPUT -o $IF_LO -j ACCEPT

  # allow all related from IF_INT
  iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

  # allow all outgoing TCP connections to IF_INT
  iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT

  # logg all other destoryed packages
  iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
  iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn

}


###############################################################################
## Start-Stop-Script                                                         ##
###############################################################################

case "$1" in
start)
echo -n "Starting firewall: iptables"
startFirewall
echo "."
;;

stop)
echo -n "Stopping firewall: iptables"
stopFirewall
echo "."
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac

Benutzeravatar
glatzor
Beiträge: 1769
Registriert: 03.02.2002 19:01:46
Wohnort: Vierkirchen bei München

Beitrag von glatzor » 16.05.2003 11:06:48

Entschuldige, ich hatte überlesen, dass Du einen selbstkompilierten Kernel verwedendest. Und hier liegt auch das Problem. Du hast nicht alle notwendingen Module einkompiliert.

Füge alle iptables/netfilter Treiber als Module hinzu oder verwende einen Debian-Standard-Kernel.

Chimerer
Beiträge: 514
Registriert: 28.01.2002 16:10:44

Beitrag von Chimerer » 05.06.2003 15:13:26

Firewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.
nachzulesen in der neuen Firewall-Sektion von securityfocus.com

http://www.securityfocus.com/infocus/unix?topic=fwrules

Benutzeravatar
kox666
Beiträge: 393
Registriert: 14.12.2002 20:35:34
Wohnort: Nähe Leverkusen...
Kontaktdaten:

Beitrag von kox666 » 06.06.2003 17:48:22

k-pl hat geschrieben: # Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?

Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich :roll:

Gruß Marco
Computer sind nichts anderes als in Silizium geätzte Heimtücke!
- Michael Rüttger

Benutzeravatar
odradeck
Beiträge: 156
Registriert: 24.03.2003 20:58:57
Wohnort: Aachen

Beitrag von odradeck » 31.07.2003 22:43:03

*freu*
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.

Schönen Dank!


@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Di ... f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.

Gruss
odde
~ wer Rechtschreibfehler findet, darf sie behalten ~

Benutzeravatar
arnem
Beiträge: 324
Registriert: 27.03.2003 08:17:25
Wohnort: Flensburg
Kontaktdaten:

Beitrag von arnem » 29.08.2003 09:09:07

Hi @ all...

Habe mir das Lutel-Script mal angesehen. So schlecht dokumentiert ist es nicht.
Wo und wie konfiguriere ich aber Port-Forwarding?

Hintergrund:
zum Spielen und für P2P-Anwendungen muss ich Anragen auf Port XYZ von außen auf eine IP im LAN forwarden.
Grüße aus Flensburg,
Arne

carstenBLN
Beiträge: 20
Registriert: 08.10.2003 20:39:35

Beitrag von carstenBLN » 09.10.2003 01:12:20

mit

Code: Alles auswählen

iptables -t nat -A PREROUTING -p <dein_proto> -m <dein_proto> --dport <zielport> -j DNAT --to-destination <deine_workstation_ip:dein_wunschport>
Zum Beispiel: alle http-Anfragen von draußen auf ne Maschine im internen Netz auf nen anderen Port umbiegen:

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:81
Alle Anfragen auf die Wall-IP:80 werden jetzt auf 192.168.1.2:81 umgebaut.

carstenBLN
Beiträge: 20
Registriert: 08.10.2003 20:39:35

Ergänzung zum FW-Script

Beitrag von carstenBLN » 09.10.2003 01:16:27

Sinnvoll in jeder Wall als SYN-flood-Protection ist noch die Zeile

Code: Alles auswählen

iptables -I FORWARD -p TCP --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
wobei die 1/sec auch höher dürfen, je nach Anwendung. Bei nem Hochlast-Webserver kann's auch kleiner sein (zB 10/sec). Die meisten Workstations dürften eh ne Rule haben, die eingehende TCP-Anfragen unterbindet, aber schaden tut's trotzdem nicht.

copter
Beiträge: 26
Registriert: 31.01.2004 15:48:38
Kontaktdaten:

Beitrag von copter » 31.01.2004 15:56:31

warum wird in den policies bei INPUT erstmal alles erlaubt?

Code: Alles auswählen

# Default-Policies setzen - alles bis auf Weiterleitung erlaubt 
iptables -P INPUT ACCEPT 
ist es nicht sinvoller erstmal allen eingang zu verbieten?

Code: Alles auswählen

iptables -P INPUT DROP 
mfg
copter

Benutzeravatar
Picknicker
Beiträge: 654
Registriert: 25.04.2003 16:28:02
Wohnort: Saarland

Beitrag von Picknicker » 01.02.2004 12:11:14

Weil dann nachfolgende Accept Rules nicht mehr bearbeitet werden da schon alle Packte in der 1. Rule verworfen werden :)
cu
Picknicker

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 01.02.2004 19:58:08

Die Policy kann man setzen wie man will. ACCEPT oder DROP haben keinen Einfluss auf die nachfolgenden Regeln, die Policies werden erst angewendet, wenn *alle* Chains durchlaufen wurden.

Ich habe mir das Skript jetzt nicht nochmal angeschaut, aber ich denke entweder werden die Policies am Ende dann noch auf DROP gesetzt, oder die Chains haben an Ihrem Ende jeweils eine explizte Regeln, die alles matched, was soweit gekommen ist, und es dann dropped.

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

blue_kamil
Beiträge: 6
Registriert: 27.03.2004 22:53:38

Beitrag von blue_kamil » 27.03.2004 23:05:46

Hallo

Ich wollte mal Fragen auch Ihr auch ein script habt das zu Absicherung eines Proxy + Samabs Server geeignet ist. Es wäre doch schwach sinn wenn ich IP-Forwarb betreiben würde??
Danke Kamil

Benutzeravatar
kenshi
Beiträge: 10
Registriert: 23.11.2003 00:25:19
Kontaktdaten:

Beitrag von kenshi » 02.04.2004 19:00:26

Was müsste ich in die Firewall schreiben damit oidentd richtig funktioniert?

BrianFFM
Beiträge: 222
Registriert: 21.04.2004 11:54:33
Wohnort: L.A. in Hessen

Beitrag von BrianFFM » 28.04.2004 21:47:36

Das Firewall Thema ist für mich immer das mit interessanteste Thema gewesen .. nur habe ich leider nie die Zeit mich mal mit iptables genauer auseinander zu setzen.

für alle die es gerne leicht haben und den syntax nicht verstehen ist der fwbuilder absolut gut .. der hat mir gute Dienste geleistet.

Vorteil: durch die Oberfläche lernt man zunächst einmal die Regeln zu verstehen. Was die Voraussetzung für eine Firewall ist.

Nachteil: ist so nett zu bedienen, daß man nie iptables lernt :?

*smile*

Gruß, Brian

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 30.04.2004 12:39:47

Hört sich vielleicht en bissl doof an, aber gibt es auch ein Tool, dass unter Windows läuft, man ein Script erstellen kann und dann per SSH z.B. in mein Linux-Script kopieren kann?

Hab grad das Problem, dass ich ein Script fürn Ethernet-Router benötige, die ganzen Beispiele aber immer für einen WAN Router sind und ich denke, dass hier das Netz schon vom fli4l abgesichert ist (hoffe ich mal)!

Was erstelle ich den hier für Regeln? Bisher kann ich ausschliesslich pingen, mehr geht nicht durch :-(

Benutzeravatar
pierre
Beiträge: 363
Registriert: 03.12.2003 21:21:34
Wohnort: Berlin

Beitrag von pierre » 30.04.2004 19:01:20

Hi,
fte213 hat geschrieben:Hört sich vielleicht en bissl doof an, aber gibt es auch ein Tool, dass unter Windows läuft, man ein Script erstellen kann und dann per SSH z.B. in mein Linux-Script kopieren kann?
putty, ein Editor und dos2unix.

Mti Hilf von dos2unix kannst du dos formatierte Dateien in Unix formatierte umwandeln.
Das ganze gibt es auch umgekehrt.

MfG
pierre

Benutzeravatar
haga43
Beiträge: 31
Registriert: 29.08.2003 14:23:50
Wohnort: Oldenburg

Beitrag von haga43 » 01.05.2004 00:01:55

nabend zusammen,

die Geschichte mit den Grundlagen ist nicht unwichtig. Will es wirklich nicht runter machen.

Aber für die Praxis im home- oder im Small-Office Bereich gibt es für mich nur eines:

fwbilder

fwbilder vergisst keinen Rückweg zu öffnen.

fwbilder ist leicht per gtk zu konfigurieren

Für verschiedene spezielle FW habe ich mit awk und bash Scripte für Firewalling gebaut, bis ich
fwbilder entdeckte.

Es gibt bestimmt ähnliche gute Tools, die ich nicht kenne.

Gruß haga43

Azra3l-XES
Beiträge: 7
Registriert: 15.03.2004 10:33:41
Wohnort: rosenheim

Beitrag von Azra3l-XES » 01.05.2004 19:49:47

da gibts meiner meinung nach auch nen relativ guten iptables-generator unter http://www.harrry.homelinux.org

benutze den auch und bin damit soweit zufrieden. ok höheren anprüchen genügt es natürlich nicht aber ist mal ein anfang :)

pugnacity
Beiträge: 187
Registriert: 13.04.2004 15:02:45
Wohnort: Berlin
Kontaktdaten:

Beitrag von pugnacity » 03.05.2004 13:58:20

leider funktioniert der von dir angebene link nicht.... :( :(

Antworten