debian nftables Port Freigabe für spezifische Anwendung
debian nftables Port Freigabe für spezifische Anwendung
Guten Morgen zusammen,
ich wollte mal nachfragen ob es in Debian irgendeine Möglichkeit gibt mit der nftable Firewall einen Port nur für eine Anwendung freizugeben?
Beispiel TCP 443 für Firefox
In der Regel werden nur Ports geöffnet und diese können gleich mit allem was installiert ist nach außen funken.
Das missfällt mir etwas. In Windows ist so etwas ganz einfach möglich.
Vielen Dank
ich wollte mal nachfragen ob es in Debian irgendeine Möglichkeit gibt mit der nftable Firewall einen Port nur für eine Anwendung freizugeben?
Beispiel TCP 443 für Firefox
In der Regel werden nur Ports geöffnet und diese können gleich mit allem was installiert ist nach außen funken.
Das missfällt mir etwas. In Windows ist so etwas ganz einfach möglich.
Vielen Dank
Re: debian nftables Port Freigabe für spezifische Anwendung
sollte nicht so schwer sein:
https://u-labs.de/portal/einstiegt-in-n ... -iptables/
https://access.redhat.com/documentation ... g_nftables
gruss
https://u-labs.de/portal/einstiegt-in-n ... -iptables/
https://access.redhat.com/documentation ... g_nftables
gruss
-- nichts bewegt Sie wie ein GNU --
Re: debian nftables Port Freigabe für spezifische Anwendung
Ich bin mir nicht sicher ob du meine Frage richtig gelesen hast?
Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.
Daas wird in deinen Links leider nicht beschrieben.
Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.
Daas wird in deinen Links leider nicht beschrieben.
Re: debian nftables Port Freigabe für spezifische Anwendung
Das geht nicht. Es ist auch nicht sinnvoll, weil:joe2017 hat geschrieben:20.04.2023 07:54:06Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.
Wenn ich als Schadsoftwareentwickler nur mit dem Prozeßnamen "firefox" durch die Firewall käme, würde ich mene Schadsoftware einfach "firefox" nennen.
Wenn überhaupt, kannst du vielleicht etwas mit dem PolicyKit basteln, aber auch hier bitte mal den "Kritik"-Teil lesen.
Re: debian nftables Port Freigabe für spezifische Anwendung
Versuch mal mit:joe2017 hat geschrieben:20.04.2023 07:54:06Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.
Code: Alles auswählen
iptables -I OUTPUT 1 -o eth0 -p tcp --dport 443 -m owner ! --cmd-owner <command> -j REJECT
Re: debian nftables Port Freigabe für spezifische Anwendung
Ja natülich könnte das so genutzt werden. Aber dafür müsste man erst einmal wissen, welche Anwendung überhaupt freigegeben wurde.MSfree hat geschrieben:20.04.2023 09:11:16Das geht nicht. Es ist auch nicht sinnvoll, weil:joe2017 hat geschrieben:20.04.2023 07:54:06Ich möchte einen Port (443) lediglich für eine einzige Anwendung (bsp. Firefox) öffnen.
Wenn ich als Schadsoftwareentwickler nur mit dem Prozeßnamen "firefox" durch die Firewall käme, würde ich mene Schadsoftware einfach "firefox" nennen.
Wenn überhaupt, kannst du vielleicht etwas mit dem PolicyKit basteln, aber auch hier bitte mal den "Kritik"-Teil lesen.
Andernfalls kann eine Schadsoftware immer ohne Einschränkung raus. Du stimmst mir zu, dass dies sicherlich nicht sinnvoller ist.
Re: debian nftables Port Freigabe für spezifische Anwendung
"cmd-owner" funktioniert nicht mehr bzw. nur mit ganz altem Kernel. Siehe z. B.: viewtopic.php?t=85320
Re: debian nftables Port Freigabe für spezifische Anwendung
joe2017 hat geschrieben:20.04.2023 09:36:08Aber dafür müsste man erst einmal wissen, welche Anwendung überhaupt freigegeben wurde.
Code: Alles auswählen
iptables -L
Nein, da stimme ich dir nicht zu. Die Firewall gehört halt nicht auf den Arbeitspatzrechner sondern auf den Router. Der Router hat aber überhaupt keine Möglichkeit mehr, zu prüfen, welche Anwedung auf dem Arbeitsplatzrechner ein bestimmtes Paket geschickt hat. Insofern ist auch hier die Überprüfung des Sendeprogramms unmöglich.Andernfalls kann eine Schadsoftware immer ohne Einschränkung raus. Du stimmst mir zu, dass dies sicherlich nicht sinnvoller ist.
Re: debian nftables Port Freigabe für spezifische Anwendung
Teste mal mit:
Code: Alles auswählen
nc -zv 142.132.203.155 443
iptables -I OUTPUT 1 -o eth0 -p tcp --dport 443 -m string --algo kmp ! --string firefox -j REJECT
nc -zv 142.132.203.155 443
iptables -D OUTPUT 1
Re: debian nftables Port Freigabe für spezifische Anwendung
ja, ich hab das falsche gelesen, da ich nicht auf die Idee käme, eine lokale Firewall zu nutzen.
Internet - Firewall - Rechner (aber egal)
vielleicht ein Proxy?
Zumindest hab ich das früher manchmal so gemacht, damit nicht irgend eine Anwendung einfach so was aus dem Netz holen kann,
allerdings ist der Proxy auch ein eigenes Gerät
Internet - Firewall - Rechner (aber egal)
vielleicht ein Proxy?
Zumindest hab ich das früher manchmal so gemacht, damit nicht irgend eine Anwendung einfach so was aus dem Netz holen kann,
allerdings ist der Proxy auch ein eigenes Gerät
-- nichts bewegt Sie wie ein GNU --
- cosinus
- Beiträge: 3494
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: debian nftables Port Freigabe für spezifische Anwendung
Das artet in Konfigurationsterror aus. Ich hab das auch mal unter Windows versucht als ich mal viel Langeweile hattejoe2017 hat geschrieben:20.04.2023 09:36:08Andernfalls kann eine Schadsoftware immer ohne Einschränkung raus. Du stimmst mir zu, dass dies sicherlich nicht sinnvoller ist.
Ja das ist möglich. Aber Frickel Krampf und Würg, man kann so wirklich nicht arbeiten, wenn man jede *.exe Datei einzeln den Zugang ins Internet erlauben muss
Ausgehenden Verkehr zu filtern macht nur in Ausnahmefällen Sinn.
Re: debian nftables Port Freigabe für spezifische Anwendung
Und bei jedem Update fängt man von vorne an, weil sich die Exes geändert haben.cosinus hat geschrieben:20.04.2023 13:02:25man kann so wirklich nicht arbeiten, wenn man jede *.exe Datei einzeln den Zugang ins Internet erlauben muss
Das macht mein Router schon seit mehr als 2 Jahrzehnten, ohne den Komfort großartig einzuschränken. Für's www habe ich einen Proxy mit einem umfangreichen Regelsatz, der mir PiHole, noscript und wie sie alle heißen mögen, erspart. Gegen Schadsoftware, die auf Port 80 oder 443 raus will, hilft das aber auch nur, wenn die Schadsoftware zu blöde ist, die Proxykonfiguration herauszufinden. Da Schadsoftware aber auch Firmenumfelder im Visier hat, muß man davon ausgehen, daß die auch WPAD beherrscht und somit einfach durch den Proxy tunnelt.Ausgehenden Verkehr zu filtern macht nur in Ausnahmefällen Sinn.
- cosinus
- Beiträge: 3494
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: debian nftables Port Freigabe für spezifische Anwendung
Wenn man als Kriterium die Prüfsumme der Datei nimmt ja. Aber da ich eben von der Windows-Firewall sprach: da hab ich zum Testen "nur" den Pfad zur EXE angegeben. Wenn der gleich bleibt ist das egal ob das Programm ein Update bekommen hat oder nicht.MSfree hat geschrieben:20.04.2023 13:38:25Und bei jedem Update fängt man von vorne an, weil sich die Exes geändert haben.
Es ist aber schon ein Abenteuer die Windows Updates richtig zu konfigurieren, wenn man ausgehenden Verkehr als Standardregel erstmal verbietet
Wenn man denn so nen Router hat. Für zu Hause reicht es dicke, dass erstmal alle Serverdienste von außen nicht erreichbar sind. Und wenn man mal ehrlich ist, wenn man Schadprogramme ausgehend blockieren muss, dann ist auf jeden Fall schon vorher was gründlich daneben gegangen.MSfree hat geschrieben:20.04.2023 13:38:25Das macht mein Router schon seit mehr als 2 Jahrzehnten, ohne den Komfort großartig einzuschränken.
Re: debian nftables Port Freigabe für spezifische Anwendung
Also der Aussage, dass die Firewall nicht auf den Arbeitsplatz gehört kann ich keinesfalls zustimmen.
Ich sichere jedes einzelne System so gut es geht ab. Dazu gehört auch die Lokale Firewall.
Ich rede auch nicht von einem 0815 Privat PC sondern von Denian Arbeitsplätzen welche in einem Unternehmen eingestzt werden.
In Windows riegeln wir mit GPOs schon seit Windows Vista unsere Anwendungen mit der Firewall ab. HIer werden lediglich einigen wenigen Anwendungen Ports geöffnet.
Hier gibt es auch nicht ständig etwas zu korrigieren, da sich Anwendungen in der Regel nicht ändern.
In Debian habe ich leider keine Möglichkeit Ports auf Anwendungen zu konfigurieren und das ist sehr schade. Ich habe gehofft, dass es in nft eine Möglichkeit gibt welche ich noch nicht kenne.
Natürlich laufen alle Verbindungen anschließend über einen Gateway. Jedoch möchte ich bereits am Arbeitsplatz alles einschränken was nicht verwendet werden soll.
Ich sichere jedes einzelne System so gut es geht ab. Dazu gehört auch die Lokale Firewall.
Ich rede auch nicht von einem 0815 Privat PC sondern von Denian Arbeitsplätzen welche in einem Unternehmen eingestzt werden.
In Windows riegeln wir mit GPOs schon seit Windows Vista unsere Anwendungen mit der Firewall ab. HIer werden lediglich einigen wenigen Anwendungen Ports geöffnet.
Hier gibt es auch nicht ständig etwas zu korrigieren, da sich Anwendungen in der Regel nicht ändern.
In Debian habe ich leider keine Möglichkeit Ports auf Anwendungen zu konfigurieren und das ist sehr schade. Ich habe gehofft, dass es in nft eine Möglichkeit gibt welche ich noch nicht kenne.
Natürlich laufen alle Verbindungen anschließend über einen Gateway. Jedoch möchte ich bereits am Arbeitsplatz alles einschränken was nicht verwendet werden soll.
- cosinus
- Beiträge: 3494
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: debian nftables Port Freigabe für spezifische Anwendung
Wenn man sonst keine Arbeit hat, macht man sich welche?
Die Windows-Firewall nutzen wir auch. Auch für die Debian-Server ist iptables aktiv. Es wird aber nichts Ausgehendes blockiert.
Re: debian nftables Port Freigabe für spezifische Anwendung
Naja, wenn es hierfür keine Lösung in Debian gibt, ist es schade.
Trotzdem Danke
Trotzdem Danke
Re: debian nftables Port Freigabe für spezifische Anwendung
Nicht wirklich. Es gibt stille Angriffe, bei denen das Opfer gar keine Chance mehr hat.cosinus hat geschrieben:20.04.2023 13:54:36wenn man Schadprogramme ausgehend blockieren muss, dann ist auf jeden Fall schon vorher was gründlich daneben gegangen.
Hast du das hier gelesen?
https://www.heise.de/news/iPhones-still ... 71140.html
Da bekommt das Smartphone eine stille SMS, also eine, die weder per Klang auf sich aufmerksam macht, noch daß man sie in der SMS-Liste sehen könnte. Diese beinhaltet einen Exploit, der das Smartphone infiziert.
OK, hier wurde der Weg über eine SMS gewählt. Einen PC kann man so natürlich nicht infizieren. Möglich wäre aber z.B. eine Infektion über ein Werbebanner auf einer Webseite, der eine Sicherheitslücke ausnutzt und so den Rechner übernimmt, und zwar so, daß man nicht auf das Banner klicken muß.
Re: debian nftables Port Freigabe für spezifische Anwendung
Hier schon mal relativ ausführlich erklärt warum die "Frage" falsch ist. Und nein. Auch unter Windows funktioniert das nicht. Es gibt nur ein Haufen Anwendungen, die das Versrprechen ohne es sinnvoll zu tun.
viewtopic.php?t=185413&hilit=internet+explorer#p1312436
viewtopic.php?t=185413&hilit=internet+explorer#p1312436
rot: Moderator wanne spricht, default: User wanne spricht.
Re: debian nftables Port Freigabe für spezifische Anwendung
Das ist halt reines ABM ohne Nutzen. Das führt nur zu einem falschen Sicherheitsgefühl.joe2017 hat geschrieben:20.04.2023 14:01:39In Windows riegeln wir mit GPOs schon seit Windows Vista unsere Anwendungen mit der Firewall ab. HIer werden lediglich einigen wenigen Anwendungen Ports geöffnet.
- cosinus
- Beiträge: 3494
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: debian nftables Port Freigabe für spezifische Anwendung
Und wie willst du dich dagegen wehren? Mit SauAlarm für iOS?
- Blackbox
- Beiträge: 4289
- Registriert: 17.09.2008 17:01:20
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: debian nftables Port Freigabe für spezifische Anwendung
Kannst du eben leider nicht, deswegen werden stille SMS gern von Repression und den Schlapphüten eingesetzt, um deine mobile Hardware zu infizieren.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen, Grundrechte stärken!
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen, Grundrechte stärken!
Re: debian nftables Port Freigabe für spezifische Anwendung
mein Trick: kein Smartphonecosinus hat geschrieben:20.04.2023 15:19:11Und wie willst du dich dagegen wehren? Mit SauAlarm für iOS?
dafür bin ich auch nicht so gestresst, wie die mobil-debilen.....
duck&renn
-- nichts bewegt Sie wie ein GNU --
Re: debian nftables Port Freigabe für spezifische Anwendung
Glaubst du wirklich, daß du damit gegen stille SMS geschützt bist?
Auch auf nicht so smarten Telefonen läuft ein Betriebssystem, das Sicherheitslücken hat. Oft genug läuft da sogar Android drauf, lustigerweise in einer Uraltversion, weil die mit geringeren Resourcen (RAM, CPU) aukommt und schon seit 10 Jahren aus der Wartung gefallen ist.
Selbst wenn du auf Mobiltelefonie komplett verzichtest, das Festnetztelefon kann direkt abgehört werden. Und offenschtlich hast du ja auch Internet, sonst könntest du hier gar nicht posten.
- Blackbox
- Beiträge: 4289
- Registriert: 17.09.2008 17:01:20
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: debian nftables Port Freigabe für spezifische Anwendung
Auch wenn deine Anmerkung sicherlich lustig gemeint war ...
Aber stille SMS waren bereits das Mittel der Wahl, als Nokia noch Marktführer im Handybau-Business gewesen ist.
Richtig: Der Abhörstandard dazu heißt „Lawful interception“ in deutschsprachigem Raum auch „VOIP-LI“ genannt.MSfree hat geschrieben:20.04.2023 21:39:32Selbst wenn du auf Mobiltelefonie komplett verzichtest, das Festnetztelefon kann direkt abgehört werden.
Es bestände zwar die Möglichkeit VOIP-Verbindungen mit SRTP zu verschlüsseln, aber dieses Feature ist bei den meisten Anbietern erst gar nicht aktiviert.
Zuletzt geändert von Blackbox am 20.04.2023 22:13:03, insgesamt 1-mal geändert.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen, Grundrechte stärken!
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen, Grundrechte stärken!
Re: debian nftables Port Freigabe für spezifische Anwendung
jo,
dass Mobiltelefone ortbar sind ist nichts Neues, oder? Dass Telefonie abgehört wird auch nicht wirklich...
Damit hab ich kein Problem bzw. wenn ich nicht ortbar sein will, hab ich einfach kein Telefon dabei.
Mein Mobiltelefon ist eigentlich immer aus und nicht wirklich oft bei mir... so ne Art tragbare Telefonzelle, wenn nötig -
die gelben sind ja nicht mehr da
gruss
dass Mobiltelefone ortbar sind ist nichts Neues, oder? Dass Telefonie abgehört wird auch nicht wirklich...
Damit hab ich kein Problem bzw. wenn ich nicht ortbar sein will, hab ich einfach kein Telefon dabei.
Mein Mobiltelefon ist eigentlich immer aus und nicht wirklich oft bei mir... so ne Art tragbare Telefonzelle, wenn nötig -
die gelben sind ja nicht mehr da
gruss
-- nichts bewegt Sie wie ein GNU --