Firewallscripts

Gemeinsam ins Internet mit Firewall und Proxy.
trozmo
Beiträge: 288
Registriert: 05.01.2003 20:01:03
Kontaktdaten:

Beitrag von trozmo » 24.01.2003 17:10:34

ja ... standartmäßig ist der firewall natürlich zu ;)


ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?

als erstes: womit wählst du dich ein ?

isdn ?
adsl ?

die äußere karte taucht in der config gar nicht auf. nur das "virtuelle adapter" ppp.
ich weisse meiner äußeren karte in der interfaces auch keine ip zu, da an dieser kein tcp/ip benötigt wird, sondern nur pppoe. somit taucht sie gar nicht in der interfaces auf.

vielleicht ist das ja bei dir anders.

somit siehts dann so aus:

zeile 19-20:

Code: Alles auswählen

ife="ppp0"
ifi="eth1"

zeile 55-62:

Code: Alles auswählen

hs2lc[0]="all" #alle services im lan verfügbar
hc2ls[0]="all" #clienten im lan, welche dem host verfügbar sein sollen
hs2ic[0]="443" #services an wan -->  dein ssl-server
hc2is="all" # services, welche dem host verfügbar sein sollen
l2i[0]="all" # internetservices, welche den clienten hinter der firewall verfügbar sein sollen

ftp_type="both" # oder active oder passive
lans_visible_at_ife="on" # services des hosts, welche über den umweg wan-lan-wan erreichbar sein sollen. somit kannst du diese auch aus dem lan mit deiner öffentlichen ip erreichen.
willst du es restriktiver gestalten, so muss du eben das "all" durch die betreffenden ports ersetzten.

limits hab ich so gelassen.

traffic optimization und logging ebenfalls.

unter "NAT" kannst du portmapping einrichten, falls hinter dem firewall ein extra-server läuft.

unter "services" habe ich ebenfalls alles so gelassen, da dass hier kein firmennetzwerk ist. es sollen praktisch clients keine restriktionen auferlegt werden, sondern nur schutz für das lan geboten werden.

thats all.

trozmo
Beiträge: 288
Registriert: 05.01.2003 20:01:03
Kontaktdaten:

Beitrag von trozmo » 24.01.2003 17:26:18

achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:

in der /etc/init.d/klogd
KLOGD="-c 1"

den tip hab ich hier aus dem forum.

Benutzeravatar
ChinaRot
Beiträge: 17
Registriert: 12.01.2003 19:22:05

Beitrag von ChinaRot » 24.01.2003 20:53:19

trozmo hat geschrieben:ja ... standartmäßig ist der firewall natürlich zu ;)


ich gehe mal davon aus, du redest von dem lutel-firewall, oder ?
... nein, ich bin noch bei dem Firewallscript auf page one in diesem Forum ... ich vermute mal, das ist nicht das selbe ??
trozmo hat geschrieben: als erstes: womit wählst du dich ein ?

isdn ?
adsl ?
... eth1 141.45.xxx.xxx --> keine Einwahl, sondern Standleitung mit fester IP

... ich benutze debian woody mit 2.4er kernel und o.g. Firewallstript ... und würde dies gern für ssh und http öffnen

Daniel

Benutzeravatar
ChinaRot
Beiträge: 17
Registriert: 12.01.2003 19:22:05

Beitrag von ChinaRot » 24.01.2003 20:54:15

trozmo hat geschrieben:achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:

in der /etc/init.d/klogd
KLOGD="-c 1"

den tip hab ich hier aus dem forum.
... thx - das klingt gut ... werde ich morgen gleich ausprobieren ...

Daniel

Benutzeravatar
ChinaRot
Beiträge: 17
Registriert: 12.01.2003 19:22:05

Beitrag von ChinaRot » 26.01.2003 00:20:38

trozmo hat geschrieben:achso ... die logausgaben auf der konsole schaltest du folgendermaßen aus:

in der /etc/init.d/klogd
KLOGD="-c 1"

den tip hab ich hier aus dem forum.
... hat funktioniert :D

... habe folgende zeilen in das firewallskript eingefügt:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

... nun kann man auf ssh und Webserver auch von außen zugreifen
... ich hoffe, ich habe mit dieser skriptänderung nicht all zu viel falsch gemacht

Daniel
P.S.: habe von außen mal mit nmap auf die Firewall geschaut und muss sagen, es sieht besser aus als bei der SuSEfirewall2 ... der umstieg auf debian hat sich gelohnt :D

elvis00
Beiträge: 12
Registriert: 06.02.2003 19:26:56
Kontaktdaten:

Beitrag von elvis00 » 08.02.2003 10:06:20

hi,
wenn du iptables als modul kompiliert hast dann per modconf rein damit in den kernel.
andernfalls modul kompilieren oder direkt rein damit in den kernel.
am anfang ist es besser es in den kernel reinzukompilieren dann hast du ein problem weniger.
gruss
...may the packets be with you!!!!

trozmo
Beiträge: 288
Registriert: 05.01.2003 20:01:03
Kontaktdaten:

Beitrag von trozmo » 08.02.2003 12:12:47

ich dachte, iptables wäre eh schon im kernel drin.

arzie
Beiträge: 134
Registriert: 17.02.2002 15:51:03

Beitrag von arzie » 03.03.2003 20:53:48

muss das nicht so heissen?

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/16 -j DROP
Ja, du hast Recht.
Und der Ordnung halber sollte dann auch noch ein

Code: Alles auswählen

iptables -A INPUT -i $IFACE_EXT  -s 169.254/16 -j DROP
mit dazu.
Info: http://www.ietf.org/proceedings/00dec/I ... cal-01.txt

Dieser Addressbereich wird zB von Windosen benutzt wenn dem Adapter keine IP zugewiesen, und kein DHCP Server gefunden wurde.

nenads
Beiträge: 21
Registriert: 11.05.2003 18:50:35
Wohnort: München

Beitrag von nenads » 15.05.2003 19:21:17

ich habe das firewall skript ins /etc/init.d/ kopiert und wollte ich nun starten
und folgendes ist pasiert:

Code: Alles auswählen

Starting firewall: iptablesmodprobe: Can't locate module ip_conntrack_ftp
modprobe: Can't locate module ipt_LOG
modprobe: Can't locate module ip_tables
iptables v1.2.6a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
dan habe ich im /sbin/ nach geschaut und da sind schon ip_tables usw.. da!
wo liegt das problem bei mir?
ich habe 2.4.20 kernel, selbst kompiliert und unter "xconfig" finde ich modul iptables nicht!

Benutzeravatar
glatzor
Beiträge: 1769
Registriert: 03.02.2002 19:01:46
Wohnort: Vierkirchen bei München

Beitrag von glatzor » 15.05.2003 19:53:35

Welches Skript denn genau?

Und was für einen Kernel verwendest Du? Alle notwenidgen Module sind in den Standard 2.4 er Kernel enthalten:

"uname -r"

nenads
Beiträge: 21
Registriert: 11.05.2003 18:50:35
Wohnort: München

Beitrag von nenads » 15.05.2003 19:55:39

diese skript hier ! weil ich kein router will sondern nur firewall, also habe ich diese skript installiert richtig oder?
k-pl hat geschrieben:Und hier noch ein Beispielscript, wenn man keinen Router betriebt, sondern nur seine Workstation absichern will.

Code: Alles auswählen

#!/bin/sh

#-----------------------------------------------
# config
#-----------------------------------------------

IF_INT=eth0
IF_LO=lo

#-----------------------------------------------
# stopFirewall
#-----------------------------------------------

function stopFirewall() {

  # enable all package, but do not forward
  iptables -P INPUT ACCEPT
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

  iptables -F
  iptables -t nat -F

  iptables -X
  iptables -t nat -X

  rmmod ip_conntrack_ftp
  rmmod ipt_LOG
}

#-----------------------------------------------
# startFirewall
#-----------------------------------------------

function startFirewall() {
modprobe ip_conntrack_ftp
modprobe ipt_LOG

  iptables -F
  iptables -X

  # drop everything
  iptables -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT DROP


  # allow everything from IF_LO
  iptables -A INPUT -i $IF_LO -j ACCEPT
  iptables -A OUTPUT -o $IF_LO -j ACCEPT

  # allow all related from IF_INT
  iptables -A INPUT -i $IF_INT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A INPUT -i $IF_INT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

  # allow all outgoing TCP connections to IF_INT
  iptables -A OUTPUT -o $IF_INT -p TCP -j ACCEPT

  # logg all other destoryed packages
  iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
  iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn

}


###############################################################################
## Start-Stop-Script                                                         ##
###############################################################################

case "$1" in
start)
echo -n "Starting firewall: iptables"
startFirewall
echo "."
;;

stop)
echo -n "Stopping firewall: iptables"
stopFirewall
echo "."
;;

restart)
$0 stop
$0 start
;;

*)
echo "Usage: firewall {start|stop|restart}"
exit 1
;;
esac

Benutzeravatar
glatzor
Beiträge: 1769
Registriert: 03.02.2002 19:01:46
Wohnort: Vierkirchen bei München

Beitrag von glatzor » 16.05.2003 11:06:48

Entschuldige, ich hatte überlesen, dass Du einen selbstkompilierten Kernel verwedendest. Und hier liegt auch das Problem. Du hast nicht alle notwendingen Module einkompiliert.

Füge alle iptables/netfilter Treiber als Module hinzu oder verwende einen Debian-Standard-Kernel.

Chimerer
Beiträge: 514
Registriert: 28.01.2002 16:10:44

Beitrag von Chimerer » 05.06.2003 15:13:26

Firewall rulesets
The Focus-Linux users have responded to the request for firewall rules! Now available are some of the firewall rulesets contributed by members of the Focus-Linux list. These firewall rulesets vary in strength, and are available for use by all. Rulesets for both IPChains and IP Tables are available.
nachzulesen in der neuen Firewall-Sektion von securityfocus.com

http://www.securityfocus.com/infocus/unix?topic=fwrules

Benutzeravatar
kox666
Beiträge: 393
Registriert: 14.12.2002 20:35:34
Wohnort: Nähe Leverkusen...
Kontaktdaten:

Beitrag von kox666 » 06.06.2003 17:48:22

k-pl hat geschrieben: # Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Was macht dieser Eintrag mit den Packeten und warum wegen der Telekom ?

Also den Rest des Skripts verstehe ich, nur diesen Eintrag irgendwie nicht wirklich :roll:

Gruß Marco
Computer sind nichts anderes als in Silizium geätzte Heimtücke!
- Michael Rüttger

Benutzeravatar
odradeck
Beiträge: 156
Registriert: 24.03.2003 20:58:57
Wohnort: Aachen

Beitrag von odradeck » 31.07.2003 22:43:03

*freu*
habe hier tatsächlich alles gefunden, um meine firewall so aufzusetzen, dass ich sie auch verstehe (mit zwei internen Netzen und dem ppp0). is' vielleicht noch nich ganz dicht, aber das Gerüst steht.

Schönen Dank!


@kox666
bei der Telekom-Sache geht es um die zulässige Paketgrösse.
im LAN liegt die bei 1500 Netto, muss aber wegen des Verwaltungsoverheads bei gerouteten DSL Verbindungen auf 1492 (oder 1454 wenn der http://www.debianforum.de/wiki/?page=Di ... f%FCr+ADSL recht hat)
gekürzt werden. genau das kannst Du hier erreichen oder besser noch im pppoe selber.

Gruss
odde
~ wer Rechtschreibfehler findet, darf sie behalten ~

Benutzeravatar
arnem
Beiträge: 324
Registriert: 27.03.2003 08:17:25
Wohnort: Flensburg
Kontaktdaten:

Beitrag von arnem » 29.08.2003 09:09:07

Hi @ all...

Habe mir das Lutel-Script mal angesehen. So schlecht dokumentiert ist es nicht.
Wo und wie konfiguriere ich aber Port-Forwarding?

Hintergrund:
zum Spielen und für P2P-Anwendungen muss ich Anragen auf Port XYZ von außen auf eine IP im LAN forwarden.
Grüße aus Flensburg,
Arne

carstenBLN
Beiträge: 20
Registriert: 08.10.2003 20:39:35

Beitrag von carstenBLN » 09.10.2003 01:12:20

mit

Code: Alles auswählen

iptables -t nat -A PREROUTING -p <dein_proto> -m <dein_proto> --dport <zielport> -j DNAT --to-destination <deine_workstation_ip:dein_wunschport>
Zum Beispiel: alle http-Anfragen von draußen auf ne Maschine im internen Netz auf nen anderen Port umbiegen:

Code: Alles auswählen

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:81
Alle Anfragen auf die Wall-IP:80 werden jetzt auf 192.168.1.2:81 umgebaut.

carstenBLN
Beiträge: 20
Registriert: 08.10.2003 20:39:35

Ergänzung zum FW-Script

Beitrag von carstenBLN » 09.10.2003 01:16:27

Sinnvoll in jeder Wall als SYN-flood-Protection ist noch die Zeile

Code: Alles auswählen

iptables -I FORWARD -p TCP --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
wobei die 1/sec auch höher dürfen, je nach Anwendung. Bei nem Hochlast-Webserver kann's auch kleiner sein (zB 10/sec). Die meisten Workstations dürften eh ne Rule haben, die eingehende TCP-Anfragen unterbindet, aber schaden tut's trotzdem nicht.

copter
Beiträge: 26
Registriert: 31.01.2004 15:48:38
Kontaktdaten:

Beitrag von copter » 31.01.2004 15:56:31

warum wird in den policies bei INPUT erstmal alles erlaubt?

Code: Alles auswählen

# Default-Policies setzen - alles bis auf Weiterleitung erlaubt 
iptables -P INPUT ACCEPT 
ist es nicht sinvoller erstmal allen eingang zu verbieten?

Code: Alles auswählen

iptables -P INPUT DROP 
mfg
copter

Benutzeravatar
Picknicker
Beiträge: 654
Registriert: 25.04.2003 16:28:02
Wohnort: Saarland

Beitrag von Picknicker » 01.02.2004 12:11:14

Weil dann nachfolgende Accept Rules nicht mehr bearbeitet werden da schon alle Packte in der 1. Rule verworfen werden :)
cu
Picknicker

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 01.02.2004 19:58:08

Die Policy kann man setzen wie man will. ACCEPT oder DROP haben keinen Einfluss auf die nachfolgenden Regeln, die Policies werden erst angewendet, wenn *alle* Chains durchlaufen wurden.

Ich habe mir das Skript jetzt nicht nochmal angeschaut, aber ich denke entweder werden die Policies am Ende dann noch auf DROP gesetzt, oder die Chains haben an Ihrem Ende jeweils eine explizte Regeln, die alles matched, was soweit gekommen ist, und es dann dropped.

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

blue_kamil
Beiträge: 6
Registriert: 27.03.2004 22:53:38

Beitrag von blue_kamil » 27.03.2004 23:05:46

Hallo

Ich wollte mal Fragen auch Ihr auch ein script habt das zu Absicherung eines Proxy + Samabs Server geeignet ist. Es wäre doch schwach sinn wenn ich IP-Forwarb betreiben würde??
Danke Kamil

Benutzeravatar
kenshi
Beiträge: 10
Registriert: 23.11.2003 00:25:19
Kontaktdaten:

Beitrag von kenshi » 02.04.2004 19:00:26

Was müsste ich in die Firewall schreiben damit oidentd richtig funktioniert?

BrianFFM
Beiträge: 222
Registriert: 21.04.2004 11:54:33
Wohnort: L.A. in Hessen

Beitrag von BrianFFM » 28.04.2004 21:47:36

Das Firewall Thema ist für mich immer das mit interessanteste Thema gewesen .. nur habe ich leider nie die Zeit mich mal mit iptables genauer auseinander zu setzen.

für alle die es gerne leicht haben und den syntax nicht verstehen ist der fwbuilder absolut gut .. der hat mir gute Dienste geleistet.

Vorteil: durch die Oberfläche lernt man zunächst einmal die Regeln zu verstehen. Was die Voraussetzung für eine Firewall ist.

Nachteil: ist so nett zu bedienen, daß man nie iptables lernt :?

*smile*

Gruß, Brian

Antworten