shorewall, rules

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
guennid
Beiträge: 10722
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

shorewall, rules

Beitrag von guennid » 24.12.2011 09:11:49

Shorewall auf einer Maschine, die als Router fungieren soll.
Was ist an dieser Konfiguration der Datei /etc/shorewall/rules falsch:
Ich kann von einem client aus eine IP anpingen, aber nicht im browser eingeben. Namensauflösung funktioniert überhaupt nicht (weder ping noch Eingabe im Browser).

Code: Alles auswählen

#Ping
ACCEPT          loc             net             icmp    8
ACCEPT          loc             $FW             icmp    8
REJECT          net             loc             icmp    8
REJECT          net             $FW             icmp    8
ACCEPT          $FW             loc             icmp    8
ACCEPT          $FW             net             icmp    8
#DNS
ACCEPT          $FW             net             UDP     53
ACCEPT          loc             $FW             UDP     53
DROP            loc             net             UDP     53
ACCEPT          $FW             net             TCP     53
ACCEPT          loc             $FW             TCP     53
DROP            loc             net             TCP     53
#Zeitserver
ACCEPT          $FW             net             UDP     123
ACCEPT          loc             $FW             UDP     123
DROP            net             $FW             UDP     123
DROP            loc             net             UDP     123
#Proxy-Server???, Surfen
ACCEPT          $FW             net             TCP     21,80,443
ACCEPT          loc             $FW             TCP     8080
DROP            net             $FW             TCP     8080
#SSH
ACCEPT          loc             $FW             TCP     xxxx
#Verbote für HTTP / HTTPS
REJECT          loc             net             TCP     80,443
Die Datei habe ich von hier kopiert und so gut ich konnte, meinen Bedürfnissen angepasst (2 NICs, kein DHCP).

Grüße, Günther

rendegast
Beiträge: 14205
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: shorewall, rules

Beitrag von rendegast » 24.12.2011 18:30:01

Haben die clients selbst eine proxy-Einstellung,
oder soll das durch ein REDIRECT auf dem Router geschehen?

Vielleicht ein paar LOG eintragen?

Auf dem Router läuft ein DNS-Dienst oder -Proxy?
Einfach ein REDIRECT für Targetport 53 eintragen, dann kann auf den Clients beliebiger DNS-Server eingetragen sein.

ACCEPT $FW net UDP 53
ACCEPT loc $FW UDP 53
DROP loc net UDP 53
ACCEPT $FW net TCP 53
ACCEPT loc $FW TCP 53
DROP loc net TCP 53
DNS auf TCP?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

guennid
Beiträge: 10722
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: shorewall, rules

Beitrag von guennid » 24.12.2011 19:37:29

Na endlich jemand, der sich meiner erbarmt! :wink:

Vorausschicken muss ich, dass ich nicht viel Ahnung von der Materie habe. Ich habe routing/firewall bisher mit IPCop out of the box gemacht. Aber die aktuelle Version will nicht mehr mit meiner Uralt-Hardware, deswegen muss ich mir jetzt selbst was mit debian basteln. Ich habe noch 'ne Zweit-Konfiguration von shorewall, die weitestgehend auf den beiliegenden configs basiert und auch mitttlerweile funktioniert. Aber das hier schien mir vom Aussehen her sicherheitstechnisch besser zu sein. Aber ich krieg's nicht zum Laufen. :cry:
rendegast hat geschrieben:Haben die clients selbst eine proxy-Einstellung
Nein. Ich habe mit proxy gar nichts am Hut. Ich vermutete, dass der, von dem ich das abgeschrieben habe, seine firewall an dieser Stelle Proxy nennt. Dass ich das nur vermute, sollten meine Fragezeichen im Kommentar ausdrücken. Dringgelassen habe ich den Abschnitt, weil der Autor in diesem Kommentar auch vom "normalen" "Surfen" faselt.
rendegast hat geschrieben:Auf dem Router läuft ein DNS-Dienst oder -Proxy?
Nicht, dass ich wüsste. Ich habe dem Router eine statische IP für die Namensauflösung via resolv.conf verpasst. Die selbe IP habe ich auch dem bisher einzigen client in wicd für DNS angegeben.

Grüße, Günther

rendegast
Beiträge: 14205
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: shorewall, rules

Beitrag von rendegast » 25.12.2011 11:06:28

Die Einstellungen sind aber auf proxy-Betrieb für Surfen und DNS ausgelegt:

Code: Alles auswählen

ACCEPT $FW net UDP 53
ACCEPT loc $FW UDP 53                                (Zugriff auf den DNS(-Proxy) der Routermaschine erlaubt)
DROP loc net UDP 53                                        (Verbot des Zugriffs auf einen DNS aus dem Internet)

ACCEPT          $FW             net             TCP     21,80,443   (Routemaschine darf surfen)
ACCEPT          loc             $FW             TCP     8080           (internes Netz darf an den Proxy-Port der Routermaschine)
DROP            net             $FW             TCP     8080                
                     (Ein zusätzliches Sicherheitsding, der Surf-Proxy sollte eigentlich nicht am äußeren Netz horchen)
#SSH
ACCEPT          loc             $FW             TCP     xxxx                        (Konfigurationszugriff aus dem inneren Netz)
#Verbote für HTTP / HTTPS
REJECT          loc             net             TCP     80,443                       (Verbot des Surfens am Surf-Proxy vorbei)
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

guennid
Beiträge: 10722
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: shorewall, rules

Beitrag von guennid » 25.12.2011 13:08:48

Danke für die Info!

Aber ich komme damit noch nicht weiter. Welche Infos brauchst Du/braucht ihr, um den/die Fehler zu finden.
Shorewall Doku habe ich bemüht, aber entweder ist mein Englisch dafür zu mäßig, oder ich verstehe es einfach nicht.

Grüße, Günther

rendegast
Beiträge: 14205
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: shorewall, rules

Beitrag von rendegast » 25.12.2011 14:07:06

Code: Alles auswählen

ACCEPT          loc             net             UDP     53,123
ACCEPT          loc             net             TCP     21,80,443
Damit dürfen die internen Maschinen DNS, NTP, HTTP(S) und FTP aus dem Netz benutzen.
Mail wären zusätzlich noch TCP 25, 465, 587, 143, 110 und 995 je nach verwendetem SMTP/POP/IMAP.

Deine ursprüngliche Konfig ist halt dafür gedacht, die Webdienste über einen Proxy zu erreichen,
mit dem gewöhnlich ein Verbieten/Erlauben von Websites/Domains einfacher zu realisieren ist als mit netfilter-Regeln.
Bsp.

Code: Alles auswählen

$ host facebook.de
facebook.de has address 69.171.242.11
facebook.de has address 66.220.149.11
facebook.de has address 66.220.158.11
facebook.de has address 69.171.224.11
facebook.de has address 69.171.229.11
die sich auch mit der Zeit ändern und dann als netfilter-Regel neu gesetzt werden müßten.
Beim Proxy wird einfach 'facebook.de' verboten.
Vielleicht gehen sogar wildcards wie 'facebook.*', um "Trickbetrügern" gleich auch zBsp. facebook.co.uk zu verwehren.





Code: Alles auswählen

$ apt-cache search firewall | sort | grep -i fire
apf-firewall - easy iptables based firewall system
arno-iptables-firewall - single- and multi-homed firewall script with DSL/ADSL support
dante-client - SOCKS wrapper for users behind a firewall
dtc-xen-firewall - A small firewall script for your dom0
ferm - maintain and setup complicated firewall rules
fiaif - An easy to use, yet complex firewall
filtergen - packet filter generator for various firewall systems
firehol - An easy to use but powerful iptables stateful firewall
firestarter - gtk program for managing and observing your firewall
fwanalog - firewall log-file report generator (using analog)
fwbuilder - Firewall administration tool GUI
fwbuilder-common - Firewall administration tool GUI (common files)
fwbuilder-dbg - Firewall administration tool GUI (debugging symbols)
fwbuilder-doc - Firewall administration tool GUI documentation
fwknop-client - FireWall KNock OPerator client side
fwknop-server - FireWall KNock OPerator server side
fwlogwatch - Firewall log analyzer
gpe-shield - firewall configuration for GPE
guarddog - firewall configuration utility for KDE
ipkungfu - iptables-based Linux firewall
kmyfirewall - iptables based firewall configuration tool for KDE
libfwbuilder-dev - Firewall Builder API library development files
libfwbuilder8 - Firewall Builder API library
libfwbuilder8-dbg - Firewall Builder API library (debugging version)
libglacier2-33 - Libraries implementing a firewall service for ZeroC Ice
libiptables-parse-perl - Perl extension for parsing iptables firewall rulesets
libnuclient-dev - The authenticating firewall [client development files]
libnuclient4 - The authenticating firewall [client library]
libnussl-dev - The authenticating firewall [SSL development files]
libnussl1 - The authenticating firewall [SSL library]
libpam-nufw - The authenticating firewall [PAM module]
libwfnetobjs0-dev - The WallFire modular firewalling application library - development files
libwfnetobjs0c2 - The WallFire modular firewalling application library - runtime files
mason - Interactively creates a Linux packet filtering firewall
netscript-2.4 - Linux 2.4/2.6 router/firewall/VM host network config. system.
netscript-2.4-upstart - Linux 2.4/2.6 router/firewall/VM host network config. system.
nuauth - The authenticating firewall [authentication daemon]
nuauth-extra - The authenticating firewall [extra modules]
nuauth-log-mysql - The authenticating firewall [MySQL log module]
nuauth-log-pgsql - The authenticating firewall [PostgreSQL log module]
nuauth-utils - The authenticating firewall [tools for admin]
nufw - The authenticating firewall [NFQUEUE daemon]
nulog - Graphical firewall log analysis interface
nutcpc - The authenticating firewall [client]
pyroman - Very fast firewall configuration tool
shorewall - Shoreline Firewall, netfilter configurator
shorewall-common - Shoreline Firewall, netfilter configurator - transition package
shorewall-doc - documentation for Shoreline Firewall (Shorewall)
shorewall-perl - Shoreline Firewall, netfilter configurator - transition package
shorewall-shell - Shoreline Firewall, netfilter configurator - transition package
shorewall6 - Shoreline Firewall (IPv6 version), netfilter configurator
socks4-server - SOCKS4 server for proxying IP-based services over a firewall
ufw - program for managing a Netfilter firewall
uif - Advanced iptables-firewall script
uruk - Very small firewall script, for configuring iptables
zorp - An advanced protocol analyzing firewall
Irgendwo darunter war auch ein Generator mit einem Skript,
das einen einfach Schritt-für-Schritt abfragt und so ein initiales Regel-Set erstellt.

Das obige Eingangsset ist so trivial, daß es sich selbst eigentlich obsolet macht.
Die Firewall Deines wlan-Routers leistet das wohl auch.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten