Was ist diese Anfrage?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 11:23:04

Ich bekomme regelmäßig solche Meldungen im journal

Code: Alles auswählen

iptables input denied: IN=wlo1 OUT= MAC=f8:16:54:f8:27:49:88:f7:c7:1b:2b:fb:08:00 SRC=216.58.207.77 DST=192.168.0.14 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=24164 PROTO=TCP SPT=443 DPT=56624 WINDOW=0 RES=0x00 RST URGP=0
Die SRC-IP ist Google, die Anfrage kommt auf Port 443 rein. Ich habe diesen Port (mit TLS und eigenem erstellen Zertifikat + CA abgesichert) testweise am Router geforwarded. Ist das ein Google Webcrawler, der meine (nur rudimentär vorhandene) Website durchsuchen will?

ein Auszug aus meiner iptables.conf

Code: Alles auswählen

# Setzen der Default-Policies
-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD DROP

# HTTP,HTTPS
-A INPUT -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp --dport 443 --sport 1024:65535 -j ACCEPT

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Was ist diese Anfrage?

Beitrag von mat6937 » 12.09.2017 12:19:22

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 11:23:04

Code: Alles auswählen

iptables input denied: IN=wlo1 OUT= MAC=f8:16:54:f8:27:49:88:f7:c7:1b:2b:fb:08:00 SRC=216.58.207.77 DST=192.168.0.14 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=24164 PROTO=TCP SPT=443 DPT=56624 WINDOW=0 RES=0x00 RST URGP=0
Die SRC-IP ist Google, die Anfrage kommt auf Port 443 rein.
Ich denke die "Anfrage" (Antwort?) ist an den destination-Port 56624 (vom source-Port 443 des host 216.58.207.77) gerichtet. Evtl. ist es keine related bzw. established Verbindung ... oder Du hast auch diese Verbindungen mit dem rst-Flag, blockiert?

Evtl. kann tcpdump mehr anzeigen (wenn nicht vorher schonm,it iptables geblockt wird):

Code: Alles auswählen

tcpdump -c 30 -vvveni <Interface> host 216.58.207.77 and src port 443

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Was ist diese Anfrage?

Beitrag von rendegast » 12.09.2017 12:31:01

scientific hat geschrieben: Die SRC-IP ist Google, die Anfrage kommt auf Port 443 rein.
Nein, die Anfrage geht bei google von SPT=443 aus und kommt auf DPT=56624 bei Dir an.


Ups, zu spät.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

BenutzerGa4gooPh

Re: Was ist diese Anfrage?

Beitrag von BenutzerGa4gooPh » 12.09.2017 12:57:57

Mache mal Test, provoziere: Firefox -> Safebrowsing aus/einschalten.
https://support.mozilla.org/de/kb/wie-f ... programmen
Ich hatte damit von der SPI-Firewall abgelehnte Folgeverbindungen im Log. Nachdem Google "geprüft" hat ...
Läuft damit auf AW von mat6397 hinaus, Source Port = https, remote Source-IP.
Ansonsten wirst du dir das Vorspiel wohl mit Debianwireshark anschauen müssen. Evtl. a. netstat und Regel temporär entfernen.

Vgl. Absatz im Link:
Welche Informationen werden über die Schutzfunktion an Mozilla und deren Partner gesendet?

Zusätzlich zur oben beschriebenen regulären Aktualisierung der Listen kann Firefox im Rahmen des Schutzes vor dem Download schadhafter Anwendungen mit Mozillas Partnern kommunizieren, um die Sicherheit einer heruntergeladenen ausführbaren Datei zu verifizieren. In diesen Fällen übermittelt Firefox einige Informationen zu dieser Datei (insbesondere Name, Herkunft, Größe und einen kryptografischen Hashwert der Inhalte) an den „Google Safe Browsing Service“, dessen Einstufung den Ausschlag dafür gibt, ob Firefox den Zugriff auf eine Datei blockiert oder nicht.

Die Mozilla-Datenschutzerklärung beschreibt, welche Daten Firefox und Mozilla erhalten und wie diese verwendet werden. Aus der Google-Datenschutzerklärung ist ersichtlich, wie Google mit den gesammelten Daten verfährt.
Bloss gut, dass mehrere "Datenschutzerklärungen" gut verständlich sind und allgemein üblich gelesen werden. Vielleicht gibt ja Google auch an Partner weiter ...

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 14:27:45

Safebrowsing kanns nicht sein. Denn ich hänge gerade nur per ssh in der Kiste und habe gar keinen Browser geöffnet, da ich nicht mal eine graphische Session offen habe... (nein, www, lynx und co verwende ich nicht)

Ich spiele gerade an den iptables herum, um die Sache besser zu verstehen und eine ordentliche Konfiguration hinzubekommen. Und da ist mir diese Zeile im Log aufgefallen...

Eine Verständnisfrage:
Wenn ich mit dem Browser eine https-Seite aufrufe, dann läuft meine Kommunikation von Port $irgendwo_über_1024 fort und kommt beim Zielrechner auf Port 443 an.
Eine Antwort von diesem Server wird DORT auf Port 443 weggeschickt oder auch auf einem unprivilegierten zurück an meinen 443 oder an Port $irgendwo_über_1024?

Oder geht bei mir über die Auswahl des Protokolls "https" die Anfrage von Port 443 raus?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Was ist diese Anfrage?

Beitrag von mat6937 » 12.09.2017 14:40:36

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 14:27:45
Eine Antwort von diesem Server wird DORT auf Port 443 weggeschickt oder auch auf einem unprivilegierten zurück an meinen 443 oder an Port $irgendwo_über_1024?
Nein, dein Port 443 wird nicht verwendet. Eine Antwort vom Server, wird vom Server mit dem source-Port 443 auf den dst-Port (der bei deiner Anfrage source-Port war) auf deinem Rechner, gesendet.

EDIT:

Es kann auch sein, dass jemand deine externe IP-Adresse zum spoofen seiner IP-Adresse verwendet hat und dann kann schon mal eine Antwort (mit dem entsprechenden flag) kommen, obwohl von deiner IP-Adresse gar keine Anfrage an die jetzige src-IP-Adresse gemacht worden ist.

Das wird von iptables dann geblockt, weil es keine related/established-Verbindung ist, sondern eine new-Verbindung.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 14:53:56

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 14:40:36
scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 14:27:45
Eine Antwort von diesem Server wird DORT auf Port 443 weggeschickt oder auch auf einem unprivilegierten zurück an meinen 443 oder an Port $irgendwo_über_1024?
Nein, dein Port 443 wird nicht verwendet. Eine Antwort vom Server, wird vom Server mit dem source-Port 443 auf den dst-Port (der bei deiner Anfrage source-Port war) auf deinem Rechner, gesendet.
Das heißt, das verworfene Paket in meinem OP ist die Antwort auf eine Anfrage von meinem Rechner an Googles https-Service?
Für einen Rechner, auf dem sowohl ein Webserver läuft (probehalber, bis ich eine eigene Maschine dafür habe) und auf dem auch gesurft wird, wie müssten dann die iptables aussehen?

Code: Alles auswählen

# Sie erlauben zunächst das Einlangen von Paketen zu schon bestehenden Verbindungen:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP,HTTPS
-A INPUT -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp --dport 443 --sport 1024:65535 -j ACCEPT

# Standardverhalten der Ketten festlegen
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Multiports allow outbound HTTP(S)
-A OUTPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
Oder ist das Käse?
Die erste INPUT-Regel erlaubt ja eingehenden Datenverkehr, sofern ein ausgehender Datenverkehr erlaubt wurde, und diese die Pakete die Antworten sind. (generell)
Die nächsten beiden INPUT-Regeln erlauben den Zugriff auf den hier laufenden Webserver auf Port 80 und 443.
Die erste OUTPUT-Regel erlaubt Antworten auf erlaubte Anfragen an meinen Server (generell)
die letzte OUTPUT-Regel erlaubt http(s)-Anfragen nach draußen mit dem Zielport 80 bzw. 443. Also wenn ich mit meinem Browser auf der Maschine irgend eine Website ansteuere.

Habe ich hier einen Gedankenfehler?
Und wenn nein, warum wird dann das Paket abgelehnt?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Was ist diese Anfrage?

Beitrag von mat6937 » 12.09.2017 14:59:11

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 14:53:56
Das heißt, das verworfene Paket in meinem OP ist die Antwort auf eine Anfrage von meinem Rechner an Googles https-Service?

...
Und wenn nein, warum wird dann das Paket abgelehnt?
Siehe EDIT in meinem Beitrag (oben).

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 16:10:38

Ich hab jetzt diese beiden Zeilen entdeckt.

Code: Alles auswählen

 iptables input denied: IN=wlo1 OUT= MAC=f8:16:54:f8:27:49:88:f7:c7:1b:2b:fb:08:00 SRC=216.166.97.169 DST=192.168.0.14 LEN=53 TOS=0x08 PREC=0x00 TTL=53 ID=25060 DF PROTO=TCP SPT=119 DPT=41730 WINDOW=115 RES=0x00 ACK PSH URGP=0
 iptables_output dropped IN= OUT=wlo1 SRC=192.168.0.14 DST=60.191.49.187 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=54817 DF PROTO=TCP SPT=443 DPT=44749 WINDOW=237 RES=0x00 ACK FIN URGP=0
Kann sowas passieren, wenn man hinter einer DSL-Leitung mit nicht fixer IP sitzt?
die erste Zeile kommt offenbar von meinem leafnode. Wenn ich fetchnews manuell anstoße, kann ich so eine Zeile aber nicht provozieren...
Die Zweite ist wiederum offenbar eine Antwort meines Mailservers auf eine Anfrage am 443-Port, der nach außen derzeit offen ist. Ein grep durch das journal nach der DST-IP ergibt diese als einzige Zeile.

Ich habe als news-Server

Code: Alles auswählen

server = news.albasani.net
server = news.mozilla.org
server = news.gmane.org
diese 3 in meiner leafnode-Config. Wo kann ich rausfinden, ob einer dieser Newsserver ev. bei giganews gehostet ist? (SRC-IP: 216.166.97.169)

Ganz verstehen tu ich diese iptables noch nicht... Aber es wird. :)

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 16:27:35

Noch eine Verständnisfrage:

Ich habe hier https://www.howtogeek.com/177621/the-be ... firewall/ folgendes gelesen:
Take a look at this example, where SSH connections FROM 10.10.10.10 are permitted, but SSH connections TO 10.10.10.10 are not. However, the system is permitted to send back information over SSH as long as the session has already been established, which makes SSH communication possible between these two hosts.

Code: Alles auswählen

   iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT
Soweit kann ich das nachvollziehen.

Würde ein Regelsatz (ähnlich wie ich es momentan implementiert habe) den selben Effekt haben?

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -j ACCEPT
Meine Überlegung dabei:
Pakete einer "established"-Verbindung werden generell beim INPUT als auch beim OUTPUT aktzeptiert.
die 3. Zeile (mit --state NEW) erlaubt die Verbindung vom Rechner mit der IP 10.10.10.10 zum Rechner auf dem diese iptables installiert sind.
Die 2. Zeile erlaubt dann die Antwortpakete (also generell, im speziellen Fall auch auf die ssh-Pakete).
Oder hab ich das falsch verstanden?

Es werden doch die Regeln mit ACCEPT so lange weiter nach unten abgearbeitet (wenn die Filterkriterien stimmen), bis eine mit DROP oder REJECT kommt.

Ich hab mir so überlegt, dass ich am Anfang alle etablierten Verbindungen rein uns raus zulasse, und für einzelne Dienste explizit nur mehr die "NEW" entweder ob rein oder raus erlaube.

Was spricht dagegen?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Was ist diese Anfrage?

Beitrag von mat6937 » 12.09.2017 16:44:19

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 16:27:35
Die 2. Zeile erlaubt dann die Antwortpakete (also generell, im speziellen Fall auch auf die ssh-Pakete).
Oder hab ich das falsch verstanden?
Wenn Du in einer chain die default policy auf ACCEPT hast, dann brauchst Du in dieser chain ohne Regeln mit dem target DROP/REJECT an der richtigen Stelle, auch keine Regeln mit dem target ACCEPT.

Die default policy deiner OUTPUT chain ist doch auf ACCEPT, lt. deinem Beitrag:

Code: Alles auswählen

# Setzen der Default-Policies
-P INPUT DROP
-P OUTPUT ACCEPT

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 17:23:41

Da hast du wohl recht...

Wie sinnvoll ist es, auch OUTPUT auf Drop zu stellen?
Bzw... ich hab eigentlich vor, auch OUTPUT auf DROP zu stellen, und nur mehr explizit erlaubten Netzwerkverkehr nach außen durchzulassen. Daher sind die Regeln schon drin.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Was ist diese Anfrage?

Beitrag von mat6937 » 12.09.2017 17:48:03

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 17:23:41
Wie sinnvoll ist es, auch OUTPUT auf Drop zu stellen?
Davon halte ich nichts. Wenn die Anwendungen/Programme/Dienste/etc. richtig konfiguriert sind, braucht man das m. E. nicht.

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Was ist diese Anfrage?

Beitrag von jph » 12.09.2017 18:05:08

An und für sich gibt es so gut wie keinen Grund, für einen Rechner daheim iptables zu pflegen. Dienste, die man nicht braucht, deaktiviert man.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 18:49:07

An und für sich gibts so gut wie keinen Grund für Pauschalurteile und Ferndiagnosen... @jph
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Was ist diese Anfrage?

Beitrag von jph » 12.09.2017 19:36:09

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 18:49:07
An und für sich gibts so gut wie keinen Grund für Pauschalurteile und Ferndiagnosen... @jph
Ähm, wenn du keine Ferndiagnosen willst, weshalb fragst du dann hier? Du wirst hier zwangsläufig nur Ferndiagnosen erhalten, sofern du nicht jemanden an/auf deinen Rechner lässt.

Du darfst gerne deinen Use Case erläutern, damit ich und andere ihn verstehen. Ich verstehe ihn nämlich nicht. Pakete werden auch ohne iptables rejected, wenn keine entsprechende Verbindung besteht bzw. am Zielport kein Dienst lauscht.

Hinweis: dein Rechner befindet sich im Subnetz 192.168.0.0/24, also hinter einem Router. Wieso nattet dein Router eingehende Pakete an deinen Rechner durch? Das wird er nur tun, falls zuvor eine Verbindung SRC=192.168.0.14 DST=216.58.207.77 PROTO=TCP SPT=56624 DST=443 aufgebaut wurde; ansonsten würden diese vom Router rejected (connection tracking). Der Fall, dass du eine fremde IP „geerbt“ hast oder die deine gespooft würde, passt hier nicht. Frage: wer hat zuvor diese Verbindung aufgebaut?

TomL

Re: Was ist diese Anfrage?

Beitrag von TomL » 12.09.2017 20:11:48

jph hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 18:05:08
An und für sich gibt es so gut wie keinen Grund, für einen Rechner daheim iptables zu pflegen. Dienste, die man nicht braucht, deaktiviert man.
Diese Aussage kann ich jetzt überhaupt nicht bestätigen. Es gibt sehr wohl gute Gründe, den ausgehenden Traffic auf Rechner daheim zu reglementieren. Und die folgende Aussage beschreibt doch eindeutig das Ziel, wo ich keine weitere infos wie z.b. ein use case für notwendig erachte:
scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 17:23:41
Bzw... ich hab eigentlich vor, auch OUTPUT auf DROP zu stellen, und nur mehr explizit erlaubten Netzwerkverkehr nach außen durchzulassen.
Und mit Dienste sauber konfigurieren hat das imho auch nix zu tun, es sei denn man betrachtet Libre Office (oder andere) auch als Dienste, die unerlaubt Verbindungen nach draussen aufbauen. Bei mir sind es jedenfalls 2 Maschinen, denen via Iptables jegliche Kontaktaufnahme oder ausgehender Verbindungsversuch ins Internet via Iptables rigoros verboten ist. Eingehender Traffic wird vom Router behandelt, ausgehender bei mir auch via iptables. Die default-Regel für Output ist Drop, explizite Port sind erlaubt.

J.m.2.c

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Was ist diese Anfrage?

Beitrag von scientific » 12.09.2017 22:27:14

Der Usecase ist ein multipler.

1) Ich möchte lernen, wie man iptables programmiert und was man damit machen kann.
2) Ich habe auf meinem Laptop sowohl Mail- als auch Web- als auch Druck und auch einen News-Server laufen. Diese möchte ich teilweise öffentlich erreichbar machen, damit ich mit meinem Smartphone von Unterwegs auf meine Ressourcen zugreifen kann.
3) Ich möchte lernen, wie man solche Webdienste und öffentlich erreichbaren Rechner möglichst gut absichern kann.
4) Ich möchte meinen Rechner so wenig wie möglich unter oben genannten Voraussetzungen geschwätzig machen.
5) Meine öffentlich erreichbaren Webdienste sind 3. SMTPS, IMAPS, SSH und HTTPS. Wie schon aus den Bezeichnungen hervorgeht, habe ich ausschließlich die TLS-gesicherten Ports nach draußen gelegt. SMTPS habe ich zusätzlich noch durch Login abgesichert, dass nur User, die sich einloggen auch tatsächlich Emails verschicken können.
fail2ban, apparmor, firejail (auch für exim4, dovecot und apache) sorgen für zusätzliche Gefängnisse für die Dienste.
6) Später soll noch VPN dazukommen, dann nehme ich die anderen Dienste wieder vom Netz und lasse sie nur per VPN erreichbar sein. Aber soweit bin ich noch nicht.

Ein durchaus ungewöhnlicher Use-Case. Dessen bin ich mir bewusst. Deswegen aber auch die aufwändigen iptables.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

BenutzerGa4gooPh

Re: Was ist diese Anfrage?

Beitrag von BenutzerGa4gooPh » 13.09.2017 07:29:07

scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 22:27:14
2) Ich habe auf meinem Laptop sowohl Mail- als auch Web- als auch Druck und auch einen News-Server laufen. Diese möchte ich teilweise öffentlich erreichbar machen, damit ich mit meinem Smartphone von Unterwegs auf meine Ressourcen zugreifen kann.
3) Ich möchte lernen, wie man solche Webdienste und öffentlich erreichbaren Rechner möglichst gut absichern kann.
In dem Scenario sollte man physisch trennen. Also eine DMZ per Firewall bilden und eine extra Maschine für die öffentlichen Dienste nutzen.
scientific hat geschrieben: ↑ zum Beitrag ↑
12.09.2017 22:27:14
1) Ich möchte lernen, wie man iptables programmiert und was man damit machen kann.
Würde sich arg vereinfachen, wenn du nur die öffentlichen Dienste berücksichtigen musst. Eigentlich kann das schon eine Firewall.

Also du würdest wohl besser mit einem zusätzlichen Plastikrouter und DDWRT/OpenWRT/LEDE kommen. M. E. pflegst du mit den genannten Distributionen auch iptables - aber für mehrere Ports/VLANs/Zonen (Internet, LAN, DMZ, WLAN, Gast), demzufolge mit physischer oder logischer Dienstetrennung entsprechend Sicherheitsbedarf der jeweiligen Zone. Ein dediziertes Serverlein benötigst du natürlich dazu.

Aber Basteln und Lernen schadet nie. Als Dauerlösung würde ich "Alles-auf-Lappi" nicht verwenden. Du baust dir momentan sozusagen eine Firewall mit GUI, Browser, Privat-Datenspeicher/"NAS" und öffentlich erreichbaren Diensten. Wenn du das mit einem Rootserver machen würdest - der "Sturm der Entrüstung" wäre dir sicher. :wink:

https://de.wikipedia.org/wiki/Demilitarized_Zone

Edit: Ein anderes Thema wäre, wenn nur ein öffentlicher Server betrieben wird. Wäre dann so zu sichern wie ein Root-Server. Aber du mischt hier konzeptionell.

Antworten