Firewallscripts

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
Picknicker
Beiträge: 654
Registriert: 25.04.2003 16:28:02
Wohnort: Saarland

Beitrag von Picknicker » 01.02.2004 12:11:14

Weil dann nachfolgende Accept Rules nicht mehr bearbeitet werden da schon alle Packte in der 1. Rule verworfen werden :)
cu
Picknicker

Benutzeravatar
pdreker
Beiträge: 8297
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 01.02.2004 19:58:08

Die Policy kann man setzen wie man will. ACCEPT oder DROP haben keinen Einfluss auf die nachfolgenden Regeln, die Policies werden erst angewendet, wenn *alle* Chains durchlaufen wurden.

Ich habe mir das Skript jetzt nicht nochmal angeschaut, aber ich denke entweder werden die Policies am Ende dann noch auf DROP gesetzt, oder die Chains haben an Ihrem Ende jeweils eine explizte Regeln, die alles matched, was soweit gekommen ist, und es dann dropped.

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

blue_kamil
Beiträge: 6
Registriert: 27.03.2004 22:53:38

Beitrag von blue_kamil » 27.03.2004 23:05:46

Hallo

Ich wollte mal Fragen auch Ihr auch ein script habt das zu Absicherung eines Proxy + Samabs Server geeignet ist. Es wäre doch schwach sinn wenn ich IP-Forwarb betreiben würde??
Danke Kamil

Benutzeravatar
kenshi
Beiträge: 10
Registriert: 23.11.2003 00:25:19
Kontaktdaten:

Beitrag von kenshi » 02.04.2004 19:00:26

Was müsste ich in die Firewall schreiben damit oidentd richtig funktioniert?

BrianFFM
Beiträge: 222
Registriert: 21.04.2004 11:54:33
Wohnort: L.A. in Hessen

Beitrag von BrianFFM » 28.04.2004 21:47:36

Das Firewall Thema ist für mich immer das mit interessanteste Thema gewesen .. nur habe ich leider nie die Zeit mich mal mit iptables genauer auseinander zu setzen.

für alle die es gerne leicht haben und den syntax nicht verstehen ist der fwbuilder absolut gut .. der hat mir gute Dienste geleistet.

Vorteil: durch die Oberfläche lernt man zunächst einmal die Regeln zu verstehen. Was die Voraussetzung für eine Firewall ist.

Nachteil: ist so nett zu bedienen, daß man nie iptables lernt :?

*smile*

Gruß, Brian

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 30.04.2004 12:39:47

Hört sich vielleicht en bissl doof an, aber gibt es auch ein Tool, dass unter Windows läuft, man ein Script erstellen kann und dann per SSH z.B. in mein Linux-Script kopieren kann?

Hab grad das Problem, dass ich ein Script fürn Ethernet-Router benötige, die ganzen Beispiele aber immer für einen WAN Router sind und ich denke, dass hier das Netz schon vom fli4l abgesichert ist (hoffe ich mal)!

Was erstelle ich den hier für Regeln? Bisher kann ich ausschliesslich pingen, mehr geht nicht durch :-(

Benutzeravatar
pierre
Beiträge: 358
Registriert: 03.12.2003 21:21:34
Wohnort: Berlin

Beitrag von pierre » 30.04.2004 19:01:20

Hi,
fte213 hat geschrieben:Hört sich vielleicht en bissl doof an, aber gibt es auch ein Tool, dass unter Windows läuft, man ein Script erstellen kann und dann per SSH z.B. in mein Linux-Script kopieren kann?
putty, ein Editor und dos2unix.

Mti Hilf von dos2unix kannst du dos formatierte Dateien in Unix formatierte umwandeln.
Das ganze gibt es auch umgekehrt.

MfG
pierre
Nick im Chat: abfallpudding

Benutzeravatar
haga43
Beiträge: 31
Registriert: 29.08.2003 14:23:50
Wohnort: Oldenburg

Beitrag von haga43 » 01.05.2004 00:01:55

nabend zusammen,

die Geschichte mit den Grundlagen ist nicht unwichtig. Will es wirklich nicht runter machen.

Aber für die Praxis im home- oder im Small-Office Bereich gibt es für mich nur eines:

fwbilder

fwbilder vergisst keinen Rückweg zu öffnen.

fwbilder ist leicht per gtk zu konfigurieren

Für verschiedene spezielle FW habe ich mit awk und bash Scripte für Firewalling gebaut, bis ich
fwbilder entdeckte.

Es gibt bestimmt ähnliche gute Tools, die ich nicht kenne.

Gruß haga43

Azra3l-XES
Beiträge: 7
Registriert: 15.03.2004 10:33:41
Wohnort: rosenheim

Beitrag von Azra3l-XES » 01.05.2004 19:49:47

da gibts meiner meinung nach auch nen relativ guten iptables-generator unter http://www.harrry.homelinux.org

benutze den auch und bin damit soweit zufrieden. ok höheren anprüchen genügt es natürlich nicht aber ist mal ein anfang :)

pugnacity
Beiträge: 187
Registriert: 13.04.2004 15:02:45
Wohnort: Berlin
Kontaktdaten:

Beitrag von pugnacity » 03.05.2004 13:58:20

leider funktioniert der von dir angebene link nicht.... :( :(

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 03.05.2004 14:45:35

Wollts noch posten, weil mir gleich aufgefallen ist als er nicht getan hat:

http://www.harry.homelinux.org

Er hat ein "r" zuviel reingeschmuckelt :-)

Azra3l-XES
Beiträge: 7
Registriert: 15.03.2004 10:33:41
Wohnort: rosenheim

Beitrag von Azra3l-XES » 03.05.2004 16:06:36

ups ja mist :D
verdammt

Laynon
Beiträge: 22
Registriert: 04.12.2003 08:01:24

Iptables für router

Beitrag von Laynon » 11.05.2004 21:12:56

Moin moin,

dieses Forum hat mir schon oft geholfen durch reines suchen, jedoch brauch ich bei den iptables nun doch noch bissel hilfe. Hab das Script für Router aus diesem Thread bissel für mich angepasst (thx k-pl). Läuft auch so wie gewünscht bis auf eine merkwürdige Sache:

Code: Alles auswählen


  # Lokal -> Internet: Alles erlauben
  iptables -A FORWARD -i $IFACE_INT -o $IFACE_EXT -j ACCEPT

  # Ins Internet : Alles erlauben
  iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT
Die erste Zeile erlaubt es mir vom Client ins Inetnet zu kommen.
Die zweite Zeiile erlaubt es generell inst internet zu kommen.

Wenn ich nun die zweite auf DROP setze, komme ich vom Router nicht mehr ins Internet vom Client aus kann ich aber immer noch ins Inernet, erst wenn ich die erste Zeile auch auf DROP setze wird der Client geblockt.

Die erste Zeile "FORWARD" soll nur weiterleiten wenn die zweite auf "ACCEPT" steht und nicht eigenstendig das Internet offen lassen..

bearbeite die Iptables grade mir dem Buch "Linux Wegweiser für Netzwerker" bin aber noch am Anfang mit den iptables.

Ich hoffe ich das die Infos reichen. Das Script ist so aufgebaut, wie das auf Seite 1 in diesem Thread.

Benutzeravatar
pdreker
Beiträge: 8297
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 12.05.2004 01:02:38

Das geht nicht, weil FORWARD alle Pakete betrifft, die *durch* den Router gehen, und OUTPUT nur die Pakete betrifft, die wirklich *vom* Router sind.

Ergo: Für die Clients ist FORWARD zuständig, und für den Router selbst ist OUTPUT zuständig. Die beiden Regeln haben keinen gegenseitigen Einfluss.

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

michaschmieder
Beiträge: 1
Registriert: 12.05.2004 11:45:50

Beitrag von michaschmieder » 12.05.2004 12:32:18

Nochmal zum Thema: Wie konfiguriere ich den Kernel zum Firewalling per IPTABLES ...
Da hätte ich hier einen Auszug aus "Das Firewall Buch" von Wolgang Barth, bezieht sich auf Kernel 2.4 ...

...Um von den Filterfähigkeiten des Kernel Gebrauch machen zu können, müssen die zum Firewalling gehörenden Teile einkompiliert sein. Mit

# make menuconfig

kann die Kernelkonfiguration verändert werden. Neben der generellen Netzwerkunterstützung unter General setup werden folgende Einstellungen aus dem Menü Networking options benötigt:

<*> Packet socket
[*] Network packet filtering (replaces ipchains)
[*] Network packet filtering debugging
....
[*] TCP/IP networking
....
[*] IP: TCP syncookie support (disabled per default)
IP: Netfilter Configuration --->[/i]

Das Submenü Nefilter Configuration faßt alle für die Netfilter-Architektur möglichen Parameter zusammen.

<*> Connection tracking (required for masq/NAT)
<M> FTP protocol support
<*> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC adress match support
<M> netfilter MARK match support
<M> Multiple port match support
<M> TOS match support
<M> Connection state match support
<*> Packet filtering
<M> REJECT target support
<*> Full NAT
<M> MASQUERADE target support
<M> REDIRECT target support
<*> Packet mangling
<M> TOS target support
<M> MARK target support
<*> LOG target support
<M> TCPMSS target support
<M> ARP tables support
<M> ARP packet filtering


Die einzelnen Einstellungen werden in

/usr/src/linux/Documentation/Configure.help

näher beschrieben. Diese zu jedem Eintrag entsprechende Hilfe erhält man auch im Konfigurationsmenü über die Auswahl Help

Die wesentlichen Einstellungen daraus sind:

Network packet filtering
Schaltet grundsätzlich das Netfilter Framework ein. Ist nötig, sobald der Rechner als Paketfilter arbeiten soll oder NAT durchgeführt werden muss.

IP: TCP syncookie support
ist eine Abwehrmaßnahme gegen SYN flooding, eine Denial-of-Service-Attacke. Auf dem äußeren Router/Filter unbedingt anwenden. Allerdings muß der SYN-Cookie Support nach dem Booten aktiviert werden:
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

IP tables support (required for filtering/masq/NAT)
Der eigentliche Kern der Paket-Manipulation im Kernel 2.4. Darunter finden sich eine Reihe von Funktionalitäten als einzelne Module implementiert. Im Gegensatz zu früheren Kernels sind auch schon nichttriviale Targets wie REJECT, MASQUERADE und REDIRECT sowie Logging in eigene Module ausgelagert worden. Das hält den eigentlichen Kernelcode klein und übersichtlich und erleichtert die Erweiterung.
....

Connection tracking (required for masq/NAT)
In einer eigenen Tabelle werden ausgehende Pakete und Verbindungen gelistet, um eingehende Pakete besser einer bestehenden Verbindung zuordnen zu können. Das ermöglicht erst NAT, erlaubt aber auch eine dynamische Paketfilterung (Modul Connection state match support ).

cu Micha

PS: I like SuSE ...

Antworten