Firewall Initialisierung in Stretch...

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
BenutzerGa4gooPh

Re: Firewall Initialisierung in Stretch...

Beitrag von BenutzerGa4gooPh » 24.02.2018 15:51:47

Trimension hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 12:46:58
Der wird rund um die Uhr massiv bombardiert, sodaß die Firewall hier einiges abfangen muss, wie z.B. Portscan-, Synflood-, Spoofing-Blocker, DDos- und Brute-Force-Angriffe auf beliebige Anwendungen, etc...... Dazu brauchts dann z.B. ne umfangreiche Blacklist (derzeit hab ich da knapp 100000 IPs da drin), die täglich aktualisiert wird...
Nutzt man da nicht besser Debianfai2ban oder greift (automatisch) auf Listen von z. B. spamhouse.org zu? Wie machst du das?
Trimension hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 12:46:58
Ich denke, daß UFW damit ein wenig überfordert wäre...
Nu ja, dass hatte ich gepostet, weil es dir eventuell Stress mit systemd ersparen könnte. Am Ende ist Debianufw auch nur eines von vielen Frontends für iptables.
Trimension hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 12:46:58
Aktuell ist es so, daß ich nicht mal alle Regeln mit nftables abbilden kann, dem "Nachfolger" von iptables, was sich aber hoffentlcih bald ändert ...

Ich pflege das gesamte Regelwerk in einer zentralen Datei, die beim Start geladen und ggf. später angepasst und manuell reloaded werden kann.
Ferm – Tool zur Konfiguration komplexer Firewalls. Es erlaubt das gesamte Firewall-Regel-Set in einer separaten Datei zu speichern und diese mit einem Befehl zu laden. Die Firewall-Konfiguration ähnelt einer strukturierten Programmiersprache, die Ebenen und Listen enthalten kann.
...
Shorewall – Hochwertiges Tool zum Konfigurieren der Kernel netfilter-Firewall. Du konfigurierst deine Firewall mit Einträgen in einer Reihe von Konfigurationsdateien.
usw.
https://gridscale.io/community/tutorial ... -firewall/
Trimension hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 12:46:58
Naja und ufw ist nicht OOTB, jedenfalls nicht bei Debian...
Das ist jetzt eine Frage der (spitzfindigen) Definition von OOtB: Vorinstalliert oder Funktionalität ohne Konfigurationsaufwand. :wink:
(Bei Firewall Letzteres kaum möglich.)

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Firewall Initialisierung in Stretch...

Beitrag von mat6937 » 24.02.2018 17:41:03

Jana66 hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 15:51:47
Am Ende ist Debianufw auch nur eines von vielen Frontends für iptables.
Ja, aber wie konfiguriert man z. B. mit ufw, diese iptables-Regel:

Code: Alles auswählen

iptables -I INPUT 1 -i eth0 -p tcp -m tcp -m multiport --dports 1025:65535 --tcp-flags SYN SYN -m ecn ! --ecn-tcp-cwr -m state --state INVALID,NEW -j DROP
?
Genauer formuliert, es geht um "--tcp-flags SYN SYN -m ecn ! --ecn-tcp-cwr" aus der Regel.

BenutzerGa4gooPh

Re: Firewall Initialisierung in Stretch...

Beitrag von BenutzerGa4gooPh » 24.02.2018 18:33:52

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 17:41:03
Ja, aber wie konfiguriert man z. B. mit ufw, diese iptables-Regel:
K. A. - vielleicht so ähnlich?
https://www.wilderssecurity.com/threads ... 935/page-3
Für komplexe Regeln ist eine "Uncomplicated Firewall" bestimmt nicht 1. Wahl. Gibt ja noch weitere professionelle Frontends - oder das Original ohne Frontend.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Firewall Initialisierung in Stretch...

Beitrag von mat6937 » 24.02.2018 18:49:51

Jana66 hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 18:33:52
... - oder das Original ohne Frontend.
Ja, denn über das Original kommt man ja erstmal an solche Regeln ran. Ich verstehe nur nicht warum ein Frontend nützlich sein soll, wenn man erstmal das Original kennen muss und danach noch zusätzlich die Syntax des Frontend aneignen bzw. lernen muss.

Benutzeravatar
Trimension
Beiträge: 10
Registriert: 17.02.2018 11:28:26

Re: Firewall Initialisierung in Stretch...

Beitrag von Trimension » 24.02.2018 20:44:50

Die Frontends sind dafür gedacht, die Komplexität vor dem User zu verstecken. Das kann nur mit Einschränkungen der Funktionalität funktionieren.
Nützlich (und gedacht) ist das für wenig erfahrene User, mit keinen allzu hohen Ansprüchen.

Das gilt nicht nur für Frontends, sondern in der Regel auch für die meisten Administrations-Tools wie z.B. Plesk, die einen massiv eingeschränkten Funktionsumfang haben, dafür aber einfach zu bedienen sind
jogibaer
[freier softwareentwickler]
cologne - germany

BenutzerGa4gooPh

Re: Firewall Initialisierung in Stretch...

Beitrag von BenutzerGa4gooPh » 24.02.2018 20:56:27

Trimension hat geschrieben: ↑ zum Beitrag ↑
24.02.2018 20:44:50
Nützlich (und gedacht) ist das für wenig erfahrene User, mit keinen allzu hohen Ansprüchen.
Dann schaue dir mal http://shorewall.org/Introduction.html#Concepts an und überlege, welche Vorteile das bei mehreren notwendigen Zonen bietet. Es gibt auch Anwender, die nicht nur 1 Root-Server sondern mehrere (Firmen-) Netzwerke jeweils unterschiedlich schützen müssen.
Andere Frontends wiederum können komplexe Regelwerke objektorientiert erstellen, mit Mehrfachverwendung untergeordneter, vorher konfigurierter Regel-Objekte.
Fwbuilder is a unique graphical firewall tool that allows the user to create objects and then drag and drop those objects into firewalls, to build a powerful security system for a single PC or a network of PCs. Fwbuilder supports a wide range of firewalls (Cisco ASA/PIX, Linux iptables, FreeBSD's ipfilter, OpenBSD's pf, and more), so its rules can be deployed on multiple platforms. Let's take a look at using Fwbuilder on Linux, which might just become a life-long affair with a powerful security system.
https://www.linux.com/learn/build-power ... ll-builder
Die Frontends sind dafür gedacht, die Komplexität vor dem User zu verstecken.
Sinn und Zweck der Sache. Jedes Werkzeug soll Arbeit zu erleichtern. Programmierst du alles in Assembler oder nutzt du meist Hochsprachen, Scripts mit "Makrobefehlen" anderer Programmierer?
Das kann nur mit Einschränkungen der Funktionalität funktionieren.
Du kennst offenbar alles, Glückwunsch!

Fehler sollte man an einer hochkomplexen Firewall, die in Firmen öfter verändert werden muss, möglichst vermeiden, dafür ist Übersichtlichkeit erforderlich. Man sollte mit Pauschalisierungen vorsichtig sein, nicht nur von 1 zu schützenden Büchse ausgehen. :wink:

Benutzeravatar
Trimension
Beiträge: 10
Registriert: 17.02.2018 11:28:26

Re: Firewall Initialisierung in Stretch...

Beitrag von Trimension » 25.02.2018 09:18:10

nun ja... jedem das Seine...
Wer mit der UFW glücklich ist.. soll sie nutzen...

UFW => Uncomplicated Fire Wall => Die darunter liegende Firewall selbst (iptables) wird dadurch keineswegs weniger kompliziert, sondern auf Grund abgeschotteter Funktionalität einfach unkompliziert gemacht. Um einen produktiven Server abzusichern, reicht das Ding einfach nicht ! Das kann man auch nicht wegdiskutieren. Und die Scripte schreib ich einmal und kann die dann auf beliebig vielen Servern einsetzen... also auch wenn ich mehrere Server administriere, bieten diese aufgehübschten Frontends keinen wirklichen Nutzen.

Ich arbeite deshalb mit dem Original, was ja schon da ist, ohne zusätzliche Software installieren, konfigurieren, lernen, pflegen, warten zu müssen...
Das sind zusätzliche und unnütze Fehlerquellen und helfen wirklich nur Anfängern, mit der komplizierten Materie klar zu kommen.

aber wie schon gesagt...
...jeder macht das so wie er denkt
...und das ist gut so
...und damit ist die Diskussion beendet
jogibaer
[freier softwareentwickler]
cologne - germany

Antworten