[erledigt] meine iptables-rules immer noch OK?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

[erledigt] meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 11.05.2018 20:15:20

Da mein neues Notebook bald kommt und somit eine Installation ansteht, bin ich gerade am Durchchecken einiger Sachen. Dabei sind mir auch die iptables-rules in die Hände gefallen, die ich vor einigen Monaten aufsetzte. Wollte mal fragen, ob das immer noch "state of the art" ist für ein privat genutztes Notebook.
Würde mich freuen, wenn mir jemand was dazu sagen könnte!

/etc/iptables/rules.v4

Code: Alles auswählen

# Generated by iptables-save v1.6.0 on Thu Oct 12 23:58:02 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:TCP - [0:0]
:UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p tcp -m recent --set --name TCP-PORTSCAN --mask 255.255.255.255 --rsource -j REJECT --reject-with tcp-reset
-A INPUT -p udp -m recent --set --name UDP-PORTSCAN --mask 255.255.255.255 --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN --mask 255.255.255.255 --rsource -j REJECT --reject-with tcp-reset
-A UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN --mask 255.255.255.255 --rsource -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Oct 12 23:58:02 2017
/etc/iptables/rules.v6

Code: Alles auswählen

# Generated by ip6tables-save v1.6.0 on Fri Dec  1 15:55:04 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:TCP - [0:0]
:UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p tcp -m recent --set --name TCP-PORTSCAN --mask ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --rsource -j REJECT --reject-with tcp-reset
-A INPUT -p udp -m recent --set --name UDP-PORTSCAN --mask ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --rsource -j REJECT --reject-with icmp6-port-unreachable
-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A TCP -p tcp -m recent --update --seconds 60 --name TCP-PORTSCAN --mask ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --rsource -j REJECT --reject-with tcp-reset
-A UDP -p udp -m recent --update --seconds 60 --name UDP-PORTSCAN --mask ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --rsource -j REJECT --reject-with icmp6-port-unreachable
COMMIT
# Completed on Fri Dec  1 15:55:04 2017
Zuletzt geändert von RobertDebiannutzer am 22.05.2018 16:08:26, insgesamt 1-mal geändert.

TomL

Re: meine iptables-rules immer noch OK?

Beitrag von TomL » 12.05.2018 18:22:53

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
11.05.2018 20:15:20
meine iptables-rules immer noch OK?.....Wollte mal fragen, ob das immer noch "state of the art" ist für ein privat genutztes Notebook.
Tja, wer soll das beantworten? Ok? ... für welchen Zweck ok? Ich sag mal so, zu Hause hinterm Router machts imho keinen Unterschied, ob diese iptables gesetzt sind oder nicht... ich denke, bei solchem Einsatz haben die überhaupt keinerlei Bewandtnis. Also vielleicht für unterwegs in fremden Netzwerken, connected an offenen WLAN-Hotspots? Ja, ich glaube, da könnten die was bringen... wobei ich sie dafür kürzer machen würde, also überflüssiges entfernen.

Die Abfrage auf " --ctstate NEW" ist m.M.n. unnötig, weil alles, was da ankommt wegen der vorherigen Regel RELATED,ESTABLISHED sowieso immer nur NEW sein kann.... also kann man imho auf dieses Matching auch verzichten. Und wenn ich unterwegs an wechselnen Access-Points bin, würde ich auch keine Recent-List anlegen. Was soll das an Erkenntnisse bringen, wenn der Netzzugang sowieso häufig wechselt? Ich hätts lieber schneller und ohne überflüssiges save and match. Darüber hinaus weiss man hier gar nicht, ob überhaupt die Conntrack-Module geladen sind.

Was mir allerdings fehlt, sind Regeln für outgoing Traffic. Ich bin davon überzeugt, dass die Kompromittierung eines Systems immer von innen heraus erfolgt oder ermöglicht wied, durch Fehler, Gleichgültigkeit, Fahrlässigkeit, Unkenntnis, usw. des Anwenders. Das heisst, mit der oben stehenden Regel haben die auf dem System laufenden Anwendungen überhaupt keine Beschränkungen und stattdessen vollkommen freie Hand, schlichtweg alles zu tun. Ich finde das einigermaßen bedenklich, gerade auch wenn man vielleicht Fremd-Repos verwendet, die entsprechende Pakete anbieten... egal ob DEB-Packages, FlatPaks oder Snap, oder was auch immer.... ist halt Software aus "vielleicht dubioser" Quelle. Dann fällt mir auf, gibt es ggf. eine Verwendung für das Application-Layer-Modul...?... also z.B. durch FTP-Send/Receive-Vorgänge? Wird dazu das ALG-Modul geladen? Oder kann sich jede FTP-Anwendung einfach unkontrolliert beliebige Ports öffnen? Weil, wenn sie das kann, können andere Anwendungen das ebenfalls... und das durchaus auch unbemerkt vom User.

Keine Ahnung, ob diese Regeln OK sind... weil Du nicht die Zielsetzung und das mögliche Angriffsszenario beschrieben hast. Ohne konkrete Anforderungen hat man aber kaum eine Möglichkeit zu bestätigen, dass sie tatsächlich wirksam und deshalb OK sind. Wie hast Du geprüft, dass sie OK sind? Du müsstest ja konkrete Unterschiede bemerken, wenn sie gesetzt sind und wenn nicht. Was geht nicht, wenn sie gesetzt sind und wie würde sich fehlende iptables an dieser Stelle durch fremde Angreifer nutzen lassen? Ist dabei der Zusammenhang mit dem Einsatzort und dessen Gegebenheiten berücksichtigt?

j.m.2.c.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 12.05.2018 19:09:29

Danke für Deine Antwort, @TomL.

Mein Einsatzgebiet:
Notebook - zuhause und unterwegs.

Getestet habe ich die Regeln nicht. (Ich wüsste auch gar nicht, wie das geht.) Ich wollte einfach versuchen, meinen Internet-Zugang möglichst restriktiv zu konfigurieren*. D.h., alles auf vernünftige Art und Weise abschalten, was ich nicht brauche.
-->
Was ich brauche:
surfen mit browser; wget; git clone; apt

*Mir wäre es lieb, wenn ich den Unterschied ohne die Regeln erst gar nicht kennenlernen müsste.

Auf die Idee, den Output auch zu beschränken, bin ich damals gar nicht gekommen, aber das wäre natürlich sehr gut. (Ich hatte mich damals an diesem ArchLinux-Wikiartikel orientiert: https://wiki.archlinux.org/index.php/Si ... l_firewall).
Wie kann ich das ergänzen?
TomL hat geschrieben: ↑ zum Beitrag ↑
12.05.2018 18:22:53
Die Abfrage auf " --ctstate NEW" ist m.M.n. unnötig, weil alles, was da ankommt wegen der vorherigen Regel RELATED,ESTABLISHED sowieso immer nur NEW sein kann....
Aber schaden könnte die zusätzliche Definition nicht, oder?

TomL

Re: meine iptables-rules immer noch OK?

Beitrag von TomL » 13.05.2018 11:47:24

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
12.05.2018 19:09:29
Getestet habe ich die Regeln nicht. (Ich wüsste auch gar nicht, wie das geht.) Ich wollte einfach versuchen, meinen Internet-Zugang möglichst restriktiv zu konfigurieren.
Das Interesse ist ja grundsätzlich ok.... aber dennoch glaube ich mittlerweile, dass das erreichte Ergebnis der Aktivitäten zur Verbesserung dre Sicherheit tatsächlich ganz am Ende zu einer Verschlechterung geführt hat. Für mich sieht es i.ü.S. so aus, als hättest Du lediglich auf ein normales niedrges Gartentor das Schild "Hier wache ich" mit einem zähnefletschenden großen schwaren Hund geheftet... und die ganze Nachbarschaft weiss, dass Du gar keinen Hund hast. Das Sicherheitsgefühl, dass Du wegen dieses Schildes hast, ist allein ein trügerisches. Und wenn Du nun denkst, Du wärest wegen des Schildes sicher und kannst auch mal Türen und Fenster geöffnet lassen.... tja,.. na dann mal viel Glück.
Mir wäre es lieb, wenn ich den Unterschied ohne die Regeln erst gar nicht kennenlernen müsste.
Was ich mit diesem Vergleich sagen will, ist einfach: Wenn Du Dich auf die Sicherheit Deiner Firewall verlässt, bist Du bereits verlassen. Du wärest auf jeden Fall sicherer, wenn Du keine Firewall hättest und dementsprechend umsichtig surfen und connecten würdest. Deshalb, weil Du Dich dann auf Dich selbst verlässt und nicht die Verantwortung auf eine FW delegiertst, die Du nicht verstanden hast und auch nicht kontrollieren kannst.
RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
12.05.2018 19:09:29
D.h., alles auf vernünftige Art und Weise abschalten, was ich nicht brauche.
Falscher Ansatz. Wenn Du Angst hast "auf die Fresse zu kriegen" :twisted: , dann ziehe keinen Ballonseide-Sportanzug an, der aussieht wie 'ne Ritterrüstung oder wie der Kampfanzug eines Marines und gehe einfach nicht in Kneipen, wo es dafür eine hohe Wahrscheinlichkeit gibt... Ballonseide schützt Dich jedenfalls nicht. So einfach ist das... das gleiche gilt fürs Surfen, keine dubiosen Seiten aufsuchen. Installiere keine Software aus dubiosen Quellen, definiere alles als dubios, was nicht aus dem Debian-Repo kommt. Erstelle kein Franken-Debian, weil Du für dieses System danach keine Kontrolle mehr über die Integrität des Zusammenspiels der System-Komponenten hast. Alles was scheinbar zusammen läuft und funktioniert, musss nicht zwingend auf tiefster Ebene auch wirklich harmonisch zusammen laufen. Kurz gesagt, Du verbesserst die Sicherheit nicht, in dem Du Maßnahmen ergreifst, die Du nicht verstehst, sondern viel mehr dadurch, dass Du verzichtest.... auf gefährliches, unnötiges, nice to have....

Ich habe 3 primäre Stufen der Browser-Nutzung. Mein eigenes Browser-Profil als "thomas" wird gar nicht zum Surfen verwendet, nur für lokales Customizing, wie cups, radicale, meine eigene Website, lokale Webinterfaces, lokale HTML-Files, etc. Zum Lesen in den Linux-Foren habe ich einen virtuellen völlig unberechtigten User eingerichtet, mit dessen Profil ich via Polkit surfe, Für unseriöses oder auch freies Surfen verwende ich eine VM, die wiederum selber im LAN keinerlei Zugriffe hat. Dazu habe ich noch einen Firejail-Aufruf, mit dem ich mal eben eine einzelne Seite öffnen kann, wenn diese Seite im scharf eingestellten Ublock Origin nicht funktioniert und ohne die VM zu starten....aber absolut diszipliniert bleibe ich damit immer nur auf "dieser" Domain. Meiner Meinung nach entsteht Unsicherheit immer zuerst duch eigenes unsicheres Verhalten. Dem gegenüber entsteht Sicherheit natürlich primär auch durch sicheres eigenes Verhalten, aber nicht durchTools, die man nicht versteht. Und effektive Sicherheit beinhaltet immer Unbequemlichkeiten, Verzicht, Mehraufwand..
surfen mit browser; wget; git clone; apt
wget macht auch FTP... wenn Du z.B. das ALG (Kernelmodul) dafür nicht aktiviert hast, sind doch sowieso alle lokalen Ports geöffnet. Zumal Du ja outgoing eh einfach durchmarschieren lässt

Das nächste, was mir aufgefallen ist, ist der nicht ganz unwichtige Umstand, dass Du IPv6 quasi kaputt konfiguriert hast, dergestalt, das es eigentlich gar nicht mehr ordentlich funktionieren kann. IPv6 braucht zum Funktionieren zwingend ICMP, siehe RFC4890. Das heisst, für Connects an fremden WLAN-APs würde ich an Deiner Stelle IPv6 besser deaktiveren und dementsprechend natürlich auch keine ip6tables setzen. Zuhause ist das wieder eine andere Situation, da brauchst Du hinterm Router keine incomming-rules, sondern eher outgoing-rules... und was viel wichtiger ist, die privacy extensions für IPv6 zu aktivieren.
TomL hat geschrieben: ↑ zum Beitrag ↑
12.05.2018 18:22:53
Die Abfrage auf " --ctstate NEW" ist m.M.n. unnötig, weil alles, was da ankommt wegen der vorherigen Regel RELATED,ESTABLISHED sowieso immer nur NEW sein kann....
Aber schaden könnte die zusätzliche Definition nicht, oder?
Definiere mal Schaden. Wer hat den Schaden, wodurch, welche Tragweite, welche Auswirkung? Ein langsamer Rechner verplempert Zeit mit unnötigen Matching-Aktionen, ein schneller Rechner verplempert Zeit mit unnötigen Matching-Aktionen....beim schnellen Rechner merkt mans nicht, das ändert aber nix an dem Umstand der Überflüssigkeit.

j.m.2.c.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 13.05.2018 12:43:46

Vielen Dank für die Mühe, TomL. :)

Ich weiß, dass ich mich nicht auf iptables verlassen sollte und das habe ich auch nicht gemacht. Ich habe mich tatsächlich so verhalten, wie wenn ich die firewall nicht hätte.
firejail? Habe ich.
ublock? Ich habe zusätzlich noch umatrix, weil mir da die Bedienung mehr liegt und ich dann noch feiner konfigurieren kann (also z.B. umatrix teilweise ausschalten, aber Basisschutz durch ublock unangetastet lassen). Und ich nutze den neuesten firefox direkt von Mozilla (jetzt nach dem Erscheinen von 60 natürlich wieder in der ESR-Version), weil sonst nämlich weder ublock noch umatrix auf dem neuesten Stand der Entwicklung sind (s. Wechsel auf WebExtension API) und somit wohl eher weniger sicher.
Gehirn? Habe ich.

Installiert wird natürlich nur aus den Debian-Repos. Außer drei Sachen in /opt (darunter firefox). In $HOME kann ich firefox nicht haben, denn /home lasse ich immer mit "nodev,nosuid,noexec" mounten (genauso wie /tmp und shm übrigens).
Ach doch, den torbrowser, den ich mal probiert hatte, habe ich in $HOME gesteckt, denn den habe ich so gestartet: "firejail --blacklist=/opt --private-home=torbrowser ./start-tor-browser.desktop" und da spielt dann noexec in $HOME wegen overlay keine Rolle mehr.

VM setzt ich vielleicht bald um, da ich ja demnächst keinen Ein-Kern Celeron Prozessor mehr haben werde.

Dennoch hätte ich gerne, dass auch meine Firewall eine zusätzliche Schutzschicht darstellt. Ich bin dafür auch bereit, mich in gewissem Maße in iptables einzudenken.

TomL

Re: meine iptables-rules immer noch OK?

Beitrag von TomL » 13.05.2018 18:26:24

Ich glaube, dass Du Dir schon viel mehr Gedanken machst, als die meisten 'normalen' Home-Computer-User.... das passt schon alles.
RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
13.05.2018 12:43:46
Dennoch hätte ich gerne, dass auch meine Firewall eine zusätzliche Schutzschicht darstellt. Ich bin dafür auch bereit, mich in gewissem Maße in iptables einzudenken.
Ja, ist auch ok. Ich würde nur zuhause hinterm (!) Router darauf verzichten, Deine anderen Maßnahmen sind schon alle ok und imho ausreichend. Und für unterwegs an fremden Hotspots könnte man eben auf die schnelle und vorübergehend die brachiale Variante aktivieren, mit der wirklich nix anderes als nur zu Surfen möglich ist. IPv6 wird temporär komplett disabled und für IPv4 ist rigoros alles verboten, was nicht ausdrücklich erlaubt ist. Tja, erlaubt ist hierbei also wirklich nicht viel.....

Code: Alles auswählen

#!/bin/bash

PATH=/sbin:/usr/sbin:/bin:/usr/bin:$PATH

sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

modprobe nf_conntrack
modprobe nf_conntrack_ipv4

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p udp --dport    53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport    53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport    80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport   443 -j ACCEPT
iptables -A OUTPUT -j REJECT --reject-with icmp-admin-prohibited

iptables -L -nv
Bei dem ganzen Kram muss Du Dir immer unbedingt eines bewusst machen... ein wirksamer Schutz beantwortet IMMER auch die Frage "wogegen?". Und wenn Du darauf keine präzise Antwort hast und das durch Prüfung auch effektiv bestätigen kannst, spar Dir das alles. Dieses vage "ich will mehr Sicherheit" ist schlichtweg kokolores. Es gibt keinen Universal-Schutz, der wirklich in jeder Umgebung und bei allen Rahmenbedingungen perfekt funktioniert. Das, was Du an der einen Stelle notwendigerweise lockerst, stellt an anderer Stelle einen Angriffspunkt dar. Die Schrauben, die Du für eine zweite Situation anziehst, blockieren Dir wiederum das System in ersterer Umgebung. Und wenn Dir jemand eine Firewall "passend für alles" verkauft, ist das Schlangenöl, sowie wie das gefärbte Wasser im Wilden Westen, wirkt gegen Dünnschiss, Haarausfall, Klapperschlangenbisse, Zahnschmerzen und eingewachsene Fußnägel.... nun ja, wenn Du daran glauben magst... es heisst ja, der Glaube kann Berge versetzen... *fg*.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 13.05.2018 23:51:26

Das ist nett, dass Du mir die Regeln schon geschrieben hast! :THX:

Die sysctl-Werte habe ich sogar schon in /etc/systctl.conf. Gemeinsam mit ein paar anderen Netzwerk-Werten, von denen ich gelesen habe, dass sie der Sicherheit dienlich sein sollen. :wink:
Naja, ich hatte mir mal Debianlynis installiert gehabt und bin mir ziemlich schlau vorgekommen, wenn ich die Prozente erhöht habe... :mrgreen: Nee, ich habe schon immer geschaut, ob das jetzt Sinn macht oder nicht. Manches habe ich auch nicht gemacht. Aber so Tipps wie z.B. Debianapt-listbugs oder auch Mountoptionen haben mir beim Einstieg schon geholfen.

Kurz und gut: Ich habe Deine Regeln mal angewendet und es klappt immer noch alles, was ich brauche.* (Ich mache das immer mit Debianiptables-persistent, die sysctl-Werte und die Kernel-Module** sind eh schon da bei mir.)
Aber wieso hast Du für FORWARD auch das "-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT" gemacht? Ich bin doch kein Router. Reicht da nicht das DROP als default-rule der chain?

Dass die firewall nur eine kleine Schutzschicht ist und auch in manchen Fällen gar nichts bringt ist klar. Aber schaden tut sie ja auch nicht und warum soll man's dann nicht machen?
Gibt's eigentlich einen Grund, weshalb ich diese firewall zuhause hinter dem Router ausschalten soll? Ist der performance impact so hoch? (Ich kann das nicht so wirklich messen, denn die WLAN-Verbindung ist bei uns eh etwas schwankend.)

*git clone mache ich ja sowieso nur über https. Z.B. https://tools.suckless.org/dmenu/ empfielt eh standardmäßig "git clone https://git.suckless.org/dmenu".

**habe mit lsmod nachgeschaut

P.S.: Ich glaube an gar nichts! :twisted:

TomL

Re: meine iptables-rules immer noch OK?

Beitrag von TomL » 14.05.2018 15:04:41

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
13.05.2018 23:51:26
Die sysctl-Werte habe ich sogar schon in /etc/systctl.conf. Gemeinsam mit ein paar anderen Netzwerk-Werten, von denen ich gelesen habe, dass sie der Sicherheit dienlich sein sollen.
Wenn ich Dich richtig verstanden habe, hast Du hier noch ein Verständnisproblem :D Also, ich bin davon ausgegangen, dass Du zuhause über Deinen DSL-Provider auch einen IPv6-Zugang hast... weil... Du hattest ja dafür sogar eigene iptables-Regeln. Für diesen Zuhause-Zugang sind die Einträge in der sysctl.conf richtig, weil sie beim Booten des Rechners für die Initialisierung des System verwendet werden. So weit so gut...

...aber Du sprichst ja auch von einer Nutzung "unterwegs".... und da ist das dann nicht mehr "so gut". Allein für diesen Unterwegs-Fall habe ich das Bash-Script-Beispiel konzipiert, welches temporär die Einstellung in der sysctl überschreibt... und zwar dergestalt, dass unterwegs an fremden unbekannten Hotspots zur Sicherheit IPv6 einfach deaktiviert wird.... deswegen, weil da IPv4 ausreichend ist und weil man nicht so einfach 2 Portale gleichzeitig abdichten kann. Das Problem ist, das Du nicht bestimmen kannst, welche Verbindung eine Anwendung nutzt, wenn beide vorhanden sind... also ist es das einfachste, unterwegs den einen "Kanal" (IPv6) einfach temporär abzuschalten. Temporär geht aber nicht über die sysctl und auch nicht über iptables-persistent.
Kurz und gut: Ich habe Deine Regeln mal angewendet und es klappt immer noch alles, was ich brauche.* (Ich mache das immer mit Debianiptables-persistent, die sysctl-Werte und die Kernel-Module** sind eh schon da bei mir.)
Nee, davon würde ich abraten... und es klappt auch mit meinem Rules-Beispiel überhaupt nicht alles.... das ist nämlich die Holzhammer-Methode, die wirklich alles verbietet... Du kannst nicht via Cups drucken, keine SSH-Verbindung im LAN, kein FTP... damit geht außer Surfen eigentlich nix. Diese Rules sind nur für unsichere Hotspots gedacht... und da ist "persistent" schlichtweg untauglich, weil zuhause ja Deine anderen Einstellungen gelten sollen... eben die über sysctl usw.

Wie ich schon sagte, es gibt keine Universaleinstellung. Üblicherweise brauchst Du zuhause ein teilweise offeneres System, und unterwegs ein deutlich höher beschränktes System... also sind feste Einstellungen hier eher untauglich. Ich würde auch die Zuhause-Iptables einfach über ein Bashscript beim Systemstart setzen. Bei mir macht das eine Service-Unit, dafür braucht man kein extra Paket, das kann systemd von sich aus. Und ich kanns nach belieben starten und stoppen.

Code: Alles auswählen

[Unit]
Description=thlu:setnft.service:   Set local Netfilter
DefaultDependencies=no
Before=systemd-networkd.service

[Service]
Type=simple
RemainAfterExit=yes

ExecStart=/usr/local/bin/setnft
ExecStop=/usr/local/bin/setnft flush

[Install]
WantedBy=multi-user.target
Aber wieso hast Du für FORWARD auch das "-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT" gemacht? Ich bin doch kein Router. Reicht da nicht das DROP als default-rule der chain?
Jain.... ICMP und Multicast werden (auch) einfach nur durchgeschleust, ohne das mein System das Ziel ist... warum sollte ich das unterbinden? Man kanns blocken, aber ich tus nicht.
Dass die firewall nur eine kleine Schutzschicht ist und auch in manchen Fällen gar nichts bringt ist klar. Aber schaden tut sie ja auch nicht und warum soll man's dann nicht machen?
Ja, ist alles gut... ich nutze das ja auch. Das Problem dabei sind immer nur User, die einen Schutz wollen, ohne zu definieren, wogegen überhaupt geschützt werden soll, was man häufig in den Windows-Linux-Umsteiger-Distris-Foren vorfindet. Da ist dann der Punkt erreicht, wo es einfach nur lächerlich wird. Es ist Blödsinn, einen Feuermelder zu installieren, wenn ich einen Gaswarner brauche. Es ist ebenso totaler Unfug, wenn ich einen Gaswarner installiere und denke, der piept auch, wenn der Keller bei Hochwasser geflutet wird. Du musst also eine konkrete Vorstellung haben, wogegen Du schützen willst... und nur dann kann man eine konkrete Verteidigung aufbauen. Wenn Du diese eindeutige Vorstellung nicht hast und einfach irgendwas installierst, dann ist da nur Wunschdenken hinter, der mit effektiven Schutz überhaupt nix zu tun hat. Hier im Forum tummeln sich einige echte Fachleute.... was glaubst Du wohl, ist der Grund, warum die alle auf die Frage "Welche Firewall?" gleichbleibend anworten "gar keine". Und glaubs mir, die haben alle ne ziemlich gute Vorstellung über Angriffsszenarien.
Gibt's eigentlich einen Grund, weshalb ich diese firewall zuhause hinter dem Router ausschalten soll?

Ja, ganz einfach... weil es keinen Angriffsvektor von außen gibt. Ein korrekt eingestellter Consumer-Router hat eine integrierte Firewall, die keine Zugriffe von außen auf Geräte im LAN zulässt. Du kannst mit iptables aber trotzdem einen lokalen Paketfilter bauen, der dann rigoros den ausgehenden Traffic reguliert, so das Anwendungen keine unprivilegierten Ports willkürlich und nach eigenem Ermessen für ausgehenden Traffic öffnen können. Aber hier ist das Augenmerk auf den User gerichtet, der selber den gefährlichsten Angriffsvektor darstellt.... die Perspektive ist hierbei auf innerhalb des Netzwerkes gerichtet, und eben NICHT auf Angriffe von außerhalb über das WWW.

j.m2.c.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 14.05.2018 17:20:22

Naja, dass Du mich als lächerlich bezeichnest und mich in die "Windows-Linux-Umsteiger-Distri"-Ecke stellst, finde ich jetzt nicht so gut und außerdem unhöflich, aber Deine Anregungen nehme ich zur Kenntnis und schaue mal ob/wie ich das verarbeite.

TomL

Re: meine iptables-rules immer noch OK?

Beitrag von TomL » 14.05.2018 17:38:36

Sorry, aber das ist wirklich lächerlich. Ich habe mich auf den Sprachgebrauch in den Foren anderer Distributionen bezogen, nicht auf dieses Debian-Forum. Und meine Bereitschaft zu Hilfe und Unterstützung ist war ja wohl hier unzweifelhaft.... also gibts wirklich keinen Grund das jetzt so darzustellen. :facepalm: Aber egal, damit bin ich raus.

BTW sind das solche Beiträge, wegen der ich meine Bereitschaft sowieso immer öfter in Frage stelle und dann offene Fragen immer öfter einfach wegclicke...

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 14.05.2018 18:56:32

1. In allen meinen bisherigen Antworten enthielt die erste Zeile einen Dank an Dich.
2. Auch in meiner letzten Antwort habe ich den sachlichen Teil Deiner Anregungen angenommen, sie waren also keineswegs für die Katz'.
3. In dem Beitrag, auf den ich mich mit meiner letzten Antwort bezog, hast Du geschrieben:
TomL hat geschrieben: ↑ zum Beitrag ↑
14.05.2018 15:04:41
Das Problem dabei sind immer nur User, die einen Schutz wollen, ohne zu definieren, wogegen überhaupt geschützt werden soll, was man häufig in den Windows-Linux-Umsteiger-Distris-Foren vorfindet. Da ist dann der Punkt erreicht, wo es einfach nur lächerlich wird.
So etwas finde ich einfach nicht in Ordnung. Man kann Leuten auch einfach sachlich etwas erklären, ohne mit irgendwelchen großartigen Bewertungen um sich zu schmeißen. OK, streng genommen muss ich das nicht auf mich beziehen, aber es ist auch in Ordnung, wenn ich es unhöflich finde. Und das habe ich sachlich vorgetragen, ohne Dir auf den Schlips zu treten.

TomL

Re: meine iptables-rules immer noch OK?

Beitrag von TomL » 14.05.2018 20:54:05

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
14.05.2018 18:56:32
So etwas finde ich einfach nicht in Ordnung.
Entgegen meiner Ankündigung habe ich doch noch einen Nachtrag.... weil ich diesen Sachverhalt nicht einfach so übergehen kann. Ich bezeichne keinesfalls Personen als lächerlich, sondern ausdrücklich die in diesen Foren bestehende undifferenzierte Art und Weise des propagierten Einsatzes einer Firewall als pauschale "Waffe" gegen alle möglichen Attacken ... im Hinblick auf das tatsächliche Ergebnis. Ich bitte hiermit ausdrücklich um Entschuldigung für diesen Fehlgriff... das war so nicht gewollt :hail:

Allerdings entschuldige ich mich nicht für diese angebliche Unsachlichkeit, sondern dafür, dass ich mich überhaupt in diesen Thread reingehängt habe. Hätte ich das vermieden, hätte es gar nicht zu dieser angeblichen Unsachlichkeit geführt. Jetzt weiss ich aber, wie ich das künftig eigentlich einfach vermeiden kann. Was allerdings diese Unsachlichkeit als solches angeht, da bleibe ich bei meiner Überzeugung und würde das jederzeit unverändert unter Bezugnahme auf die für mich ziemlich fragwürdigen Praktiken in diesen bestimmen Distributionsforen wiederholen.... bis hin zu der Feststellung, dass ich Bekannten und Freunden rigoros von einer Verwendung dieser Systeme abrate.

Das Dir meine Meinung nicht gefällt... ?... ok, entschuldige ich mich auch für... :lol:

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 20.05.2018 12:11:09

@TomL: Freut mich, wenn ich Dich falsch verstanden habe. Bei Deiner Kritik bezüglich bestimmter "Anfänger-Linux-Systeme" bin ich ganz bei Dir! Und natürlich hast Du auch Recht, wenn Du sagst, dass keine Sicherheitsvorkehrungen besser sich als völlig unüberlegte und falsche, bei denen der Schuss nach hinten hinausgehen kann. Im Grunde genommen sind wir auf sachlicher Ebene einer Meinung. Schade, dass sich das Missverständnis auf persönlicher Eben ergeben hat. Aber Schwamm drüber.

Wie gesagt, meine "firewall" ist für mich keine "Universal-Waffe", sondern wirklich nur eine ganz kleine Schicht in meinem "Sicherheitssystem". Es ist mit ihr ein bisschen wie mit dem Mounten von /home als noexec: An sich sehr wenig wert. Das noexec kann leicht ausgehebelt werden. Aber die Summe der dünnen Schälchen ergeben dann halt vielleicht doch eine schöne Zwiebel (oder so :mrgreen: ).

Jedenfall setze ich Deine Firewall nun auf meinem System und zwei anderen Systemen, die ich betreue, ein. Ich habe sie noch durch Einträge für cups und den Printer/Scanner ergänzt und für lokale Mails, die ich von einem Programm manchmal kriege:

Code: Alles auswählen

-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 631 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 8611 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8611 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 8612 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8612 -j ACCEPT
(Bei den Einträgen für den Drucker/Scanner, also für die Ports 8611 und 8612 sind wohl nicht udp und tcp beide nötig, das muss ich bei Gelegenheit nochmal anschauen.)

BenutzerGa4gooPh

Re: meine iptables-rules immer noch OK?

Beitrag von BenutzerGa4gooPh » 22.05.2018 13:23:39

Ich lese den Thread interessiert mit.
Psycho-Scheiß:
RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
14.05.2018 17:20:22
Naja, dass Du mich als lächerlich bezeichnest und mich in die "Windows-Linux-Umsteiger-Distri"-Ecke stellst, finde ich jetzt nicht so gut und außerdem unhöflich, aber Deine Anregungen nehme ich zur Kenntnis und schaue mal ob/wie ich das verarbeite.
Von TomLs Worten hätte nicht mal ich mich persönlich angegriffen gefühlt, ganz anders gemeint! Foren und Sensibelchen passen nicht. :wink:

Ein Bedenken habe ich:
TomL hat geschrieben: ↑ zum Beitrag ↑
14.05.2018 15:04:41
Das Problem dabei sind immer nur User, die einen Schutz wollen, ohne zu definieren, wogegen überhaupt geschützt werden soll, was man häufig in den Windows-Linux-Umsteiger-Distris-Foren vorfindet [...]
Du musst also eine konkrete Vorstellung haben, wogegen Du schützen willst... und nur dann kann man eine konkrete Verteidigung aufbauen. Wenn Du diese eindeutige Vorstellung nicht hast und einfach irgendwas installierst, dann ist da nur Wunschdenken hinter, der mit effektiven Schutz überhaupt nix zu tun hat.
"Best Practices" werden damit außen vor gelassen. Keiner von uns und nicht mal allerbeste Experten kennen alle Bösartigkeiten von Geheimdiensten, Staatstrojanerm und bisherigen, vor allem künftigen Methoden.

Auf welches "Anfängerforum" du dich beziehst, hast du nicht geschrieben. Da auch ich in anderen Foren mitlese, nehme ich ubuntuusers.de oder linuxmintusers.de an. Dort wird meist geraten, keine ZUSÄTZLICHE Personal Firewall (Desktop-Firewall) einzusetzen - unter der Bedingung, einen NAT-Router (Fritzbox, Speedport etc) vorgeschaltet zu haben. Neuerdings wird in den entsprechenden Distributionen (Ubuntu, Mint) eine Firewall (ufw?) per default installiert. Mit Oberfläche gufw und damit mit verschiedenen, umschaltbaren Profilen Home/LAN bzw. öffentlicher Hotspot. Auch in den genannten Foren sind Experten, ich erinnere mich gut an User/Experte Flash63 (LMU), Elektronenblitz_irgendwas von ubuntuusers.de usw.

Bislang wird von Debian keine Personal (Desktop-) Firewall per Default ausgeliefert (XFCE, Gnome/KDE weiß ich nicht). Best Practice im Df ist derzeit wohl, Personal/Desktop- oder Hardware-Firewall (Was denn nun genau???) nicht zu überschätzen, braucht man nicht 2 x (z. B. mit Fritzbox/NAT-Router keine Desktop-Firewall). Trotzdem der TO m. E. mit Laptop direkt zu einem öffentlichen Hotspot verbinden möchte. Angriffsvektoren hier speziell Mitlesen, Eindringen WAN->Lappi. Mindestaufgabe Firewall: Jede unverschlüsselte Verbindung verhindern, keine initiierten Verbindungen Richtung WAN -> Laptop. Firewall-Profile wären hier sinnvoll, Laptop mal zuhause und mal am öffentlichen Hotspot.

Best Practices einer privaten Firewall zusätzlich zu einem Plastikrouter (NAT) und meist vorhandenen Windows-Virenschleudern der Kinder, Smartphones, neugieriger Smart-TVs:

Ziele:
Erkennung und Vermeidung ungewöhnlichen Traffics zwischen internen Segmenten und zum Internet
Erkennung und Einschränkung der Folgen von Malware (z. B. nur Verbindung zum gewollten und bekannten Mail-Provider)

Mittel (Gedächtnisprotokoll, sicher nicht vollständig, selber suchen nach "firewall best practices"):
Segmentierung (zumindest Gastnetz bei Bedarf, WLAN gesondert/analog schützen)
nur gewollte IPs bis Router/Firewall
nur gewollte IPS ab Router/FW ins Internet
nur öffentliche, routbare IPs inbound (private/Sonder-IP -> inbound = Spoofing)
Default Deny auf jedem Interface
nur notwendigen, bekannten, gewollten Traffic zugelassen
Logs: ungewöhnlicher Traffic, halboffene Verbindungen, Schwellwert Initiation neuer Verbindungen pro Zeiteinheit, weitere Methoden für Malwareerkennung

ICMP (wegen dDOS, wenn, wäre NAT-Router betroffen) ist eine umstrittene Geschichte, bislang keine abschließende Meinung meinerseits. Dualstack (IPv4 und IPv6) schwerer zu sichern. Ein (1 Stück!) Stack/Protokoll dürfte zumindest intern (LAN) ausreichend sein.
Bin am Lesen: http://altlasten.lutz.donnerhacke.de/mi ... ewall.html

Tja firejail, umatrix, ublockorigin etc. könnte man planerisch-kritisch als reine Personal-/Desktop- (leider sogar Browser-only-) Firewall betrachten. Eindringen/Nutzerfehler erschwert, aber leichter kompromittierbar als eine Hardware-Firewall auf dedizierter Büchse. Und gegen Anklicken gewisser Mails hilft das wohl gar nichts. Kann man privat vielleicht unterbinden aber in einer Firma mit notwendigen Kundenkontakten eher schwierig. Ob eine Mitarbeiter-Schulung = administrativ Unterbinden die Lösung ist, wage ich zu bezweifeln. Sicherheit = Zwiebelschalenprinzip = mehrere Wehranlagen einer mittelalterlichen Ritterburg. Besichtigung von Burgen mit gut erhaltenen Wehranlagen für Aluhüte (nebst Frauen) interessant, empfehlenswert und sogar erholsam.

tl;dr: Best Practices sind Lehren aus bzw. Verallgemeinerungen der Vergangenheit für die Zukunft (klappt nicht zu 100% - aber 80% sind viel besser als nichts).
Zuletzt geändert von BenutzerGa4gooPh am 22.05.2018 14:16:34, insgesamt 2-mal geändert.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 22.05.2018 14:11:41

[OT] Die meisten Menschen haben von Psychologie Null Ahnung. Damit impliziere ich nicht, dass ich Ahnung hätte, aber es musste mal gesagt werden. :wink:
Außerdem haben TomL und ich bereits geklärt gehabt, dass es sich um ein Missverständnis gehandelt hat. Wenn Du jetzt also eine auf Missverständnis gegründete Aussage von mir heranziehst, um Deinen Senf dazuzugeben, kann man das fast schon unhöflich finden... :mrgreen: :mrgreen: [/OT]

Den Rest Deines Beitrages verstehe ich leider stellenweise nicht wirklich, bzw. kann ihn nicht in Verbindung mit meiner Frage bringen.
Scriptblocker im Browser sind AFAIK erstes und sehr wirksames Schutzmittel des Desktop-Users, denn wenn jede Website und jede Dritt-Website einfach ungefragt irgendwelche Scripte ausführen kann, ist man eh am A***.

BenutzerGa4gooPh

Re: meine iptables-rules immer noch OK?

Beitrag von BenutzerGa4gooPh » 22.05.2018 15:11:21

RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
22.05.2018 14:11:41
von RobertDebiannutzer » Di 22. Mai 2018, 14:11
[OT] Die meisten Menschen haben von Psychologie Null Ahnung.
[...]
Wenn Du jetzt also eine auf Missverständnis gegründete Aussage von mir heranziehst, um Deinen Senf dazuzugeben, kann man das fast schon unhöflich finden... [/OT]
Du verallgemeinerst falsch. Die meisten Menschen (Familienmitglieder) haben Sozialkontakte, Freunde, Kinder und Lebenserfahrung. Psychologie (nebst Pädagogik) ändert sich zu oft und zu schnell, als dass sie eine allgemein gültige Wissenschaft sein könnte. Es existiert viel zu wenig Wissen um Biologie, Nerven, Hirn - kaum eine Geisteskrankheit kann dauerhaft geheilt werden - geschweige denn ein (Insekten-) Gehirn erschaffen werden. Methoden und Medikamente empirisch testen/ausprobieren fällt unter Bastelei. Wer was anderes behauptet und dabei nicht nicht mal ein einfaches Hirn (analog Insekt) nachbauen kann, also nicht mal dieses einfache Nervensystem zur Gänze versteht, das aber behauptet und in komplexeren Systemen nur Empirie testet, ist ein Scharlatan! Empirie bedeutet Versuch und Irrtum. Falsch behandelte, menschliche Versuchskaninchen bedanken sich bei Scharlatanen! "Suchtherapien" - deren ständiger Wechsel und nur wenige Erfolge (in Prozent) sprechen eine eigene Sprache für Unwissenheit bezüglich des menschlichen Hirns. "Künstliche Intelligenz" habe ich leider noch nirgendwo praktisch gesehen - obwohl es den Begriff schon seit Jahrzehnten und neuerdings mit immer mehr Steuermitteln gibt. Kürzlich wurden bei heise.de 25 Tausend biologisch-intelligente Lösch-Mitarbeiter von Facebook trotz angeblich vorhandener KI (Algorithmen) genannt.
Fuzzy Sets (unscharfe Mengen, diesbezügliche Regler) war auch so ein Trend. Mittlerweile spricht keiner mehr davon. :wink:

Mein "Senf" bestand übrigens aus genau 1 kurzen (und offenbar berechtigtem) Satz. Für mich Ende OT / "Psychotherapie" für Sensibelchen (Rat von Mensch zu Mensch wegen Forenerfahrung).
RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
22.05.2018 14:11:41
Den Rest Deines Beitrages verstehe ich leider stellenweise nicht wirklich, bzw. Lkann ihn nicht in Verbindung mit meiner Frage bringen.
Konkrete Fragestellung zum eigentlichen/fachlichen "Rest" lautet wie?

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

[erledigt] meine iptables-rules immer noch OK?

Beitrag von RobertDebiannutzer » 22.05.2018 16:07:53

Sorry, aber wer so schreibt verwechselt nicht nur (u.a.) Psychologie, Psychiatrie, Neurologie und psychosomatische Medizin, sondern labert einfach nur altklug daher. Und das nichtmal im Smalltalk-Bereich, sondern im Technik-Bereich des Forums.
Du hast aus meinem ernsthaften und rein technikbezogenen Thread ein OT-Geschwurbel gemacht, es hat für mich keinen Sinn, das weiter fortzuführen. Vielmehr wäre es verschwendete Lebenszeit. TomL hat bereits alle meine Fragen ausreichend beantwortet und damit ist der Thread für mich fertig. Ich habe das nun auch entsprechend gekennzeichnet.
Jana66 hat geschrieben: ↑ zum Beitrag ↑
22.05.2018 15:11:21
RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
22.05.2018 14:11:41
von RobertDebiannutzer » Di 22. Mai 2018, 14:11
[OT] Die meisten Menschen haben von Psychologie Null Ahnung.
[...]
Wenn Du jetzt also eine auf Missverständnis gegründete Aussage von mir heranziehst, um Deinen Senf dazuzugeben, kann man das fast schon unhöflich finden... [/OT]
Du verallgemeinerst falsch. Die meisten Menschen (Familienmitglieder) haben Sozialkontakte, Freunde, Kinder und Lebenserfahrung. Psychologie (nebst Pädagogik) ändert sich zu oft und zu schnell, als dass sie eine allgemein gültige Wissenschaft sein könnte. Es existiert viel zu wenig Wissen um Biologie, Nerven, Hirn - kaum eine Geisteskrankheit kann dauerhaft geheilt werden - geschweige denn ein (Insekten-) Gehirn erschaffen werden. Methoden und Medikamente empirisch testen/ausprobieren fällt unter Bastelei. Wer was anderes behauptet und dabei nicht nicht mal ein einfaches Hirn (analog Insekt) nachbauen kann, also nicht mal dieses einfache Nervensystem zur Gänze versteht, das aber behauptet und in komplexeren Systemen nur Empirie testet, ist ein Scharlatan! Empirie bedeutet Versuch und Irrtum. Falsch behandelte, menschliche Versuchskaninchen bedanken sich bei Scharlatanen! "Suchtherapien" - deren ständiger Wechsel und nur wenige Erfolge (in Prozent) sprechen eine eigene Sprache für Unwissenheit bezüglich des menschlichen Hirns. "Künstliche Intelligenz" habe ich leider noch nirgendwo gesehen -obwohl es den Begriff schon seit Jahrzehnten und mit immer mehr Steuermitteln gibt.

Mein "Senf" bestand übrigens aus genau 1 kurzen (und offenbar berechtigtem) Satz. Für mich Ende OT / "Psychotherapie" für Sensibelchen (Rat von Mensch zu Mensch wegen Forenerfahrung).
RobertDebiannutzer hat geschrieben: ↑ zum Beitrag ↑
22.05.2018 14:11:41
Den Rest Deines Beitrages verstehe ich leider stellenweise nicht wirklich, bzw. Lkann ihn nicht in Verbindung mit meiner Frage bringen.
Konkrete Fragestellung zum eigentlichen/fachlichen "Rest" lautet wie?

Antworten