Firewall für Dummys= für Excalibur
 

INFO: RED HAT 7.1
Also:Gehe in das Verzeichnis /bin/
1, vi firewall
2 Kopieren das Script http://www.onlinetravel.at/firewall2 in die Datei
3, chmod 755
4, du wählst dich ein
5, firewall start in die Shell schreiben.

Das Script hab ich runtergeladen, mit "mc" nach /bin/ kopiert, umbenannt in "firewall" und chmod 755.
Also ohne "vi firewall", macht das einen Unterschied?
Soweit so gut: Muss ich irgendwelche Einträge in dem Script ändern ?
bevor ich ne Verbindung aufbaue, und firewall start eingebe?
Noch ne kleine INFO am Rande: Samba server läuft auch( hat das irgendeine Auswirkung?)

mfg Excalibur33

Morning

Am Beginn findest du ppp0 und eth0, auf deine Bedürfnisse anpassen.
Extern ppp0
Intern eth1

Das Script ist schön dokumentiert, durchlesen und bei bedarf das # wegnehmen.

Sloter

Extern ppp0
Intern eth0 = für LAN
ist eingetragen: Jetzt der Sprung ins kalte Wasser ?
mfg

Firewall start: ergibt Firewall aktivate
Firewall status: /usr/sbin/iptables: Datei oder Verzeichnis nicht gefunden;im grossen und ganzen Iptables not found
whereis iptables: /sbin/iptables/lib/iptables /usr/share/man/man8/
iptables.8.gz
lsmod: ppp_async
ping geht noch zu WCM
so wie ich das sehe, sind die IPtables im flaschen Verzeichnis oder der Pfad in der Firewall ist falsch?
Richtig?
mfg Excalibur

Pfad in der Firewall korrigiert:
Trotzdem Fehlermeldungen, aber weniger
Firewall wil Iptables 2.4.2 als Module laden, sind aber im Kernel aktiviert,nicht als Module!
ausserdem noch Iptables v1.2.1a
Doch nicht so einfach! Gottseidank kann ich Firewall jederzeit stoppen
What shell I do ?
mfg

Hi @all!

@excalibur

Liegt iptables bei Dir nur unter /sbin?
Dann ändere den Pfad (3.Zeile) im Script auf /sbin/iptables!

HTH

Manx

@Manx
Jo;Hab ich schon gemacht; Die FW will die IPtables als Module laden.
Ich habs aber im Kernel implentiert!!
Irgendeine Idee ?
mfg

... probiere den Absatz in dem die Module geladen werden mal rauszunehmen (Kommentar).

... und 'iptables -vL' funzt ja, oder?

Grüße

Manx

das muss ich erst probieren!

@Manx
Hab bei der FW :bei Loading "IPtables modules" das "modprobe" herausgenommen.
neuer check: er will die neuen und alten laden
"iptables -vL" ergibt: nf_sock overlap:64-1089/o-0 v 64-66/64-66
mfg Excalibur RATLOS!

.. o.k, da ist einiges im Argen!

Hab die Threads nicht sooooo aufmerksam verfolgt, bitte nochmals zur Wiederholung.
Welches Linux?
Welcher Kernel?
Welcher Version von iptables? 'iptables -V'

... es sollte so aussehen.
Grüße

Manx

Red Hat 7.1 prof. Seawolf
Kernel 2.4.17
iptables -V: v1.2.1a
mfg

@ alle Redhat - user! mit Alcatel (NIC version)
Für alle, die eine Firewall haben wollen, die funzt, und damit auch die mails & Browsing und Internetsharing kann:
Folgendes Script in die Datei:Firewall hineinkopieren:

#Geschrieben von Excalibur33
killall pppd
killall pptp
/sbin/iptables -F
echo "RESTART"
sleep s 5
/usr/sbin/pptp alcatel
sleep s 5
/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
echo 1>/proc/sys/net/ipv4/ip_forward
echo "DONE...."

Dieses Script ins Verzeichnis: /bin/ kopieren
chmod 700 firewall

Danach starten mit:firewall
beenden mit: killall firewall
Kommentar:
1.)Das pptp muss schon im Verzeichnis /usr/sbin/ sein
und die Einträge für /etc/ppp/options sowie resolf.conf und papsecrets sollten auch schon erledigt sein!!
Achtung bei UTA-benutzer: Logname ist mit "...." einzutragen!!
2.)auf den Windowsrechnern Eigenschaften von Netzwerk > NIC-Konfiguration > DNS
DNS aktivieren und Nameserver -IPs eintragen, Namen für Host eintragen= "Rechnername", Gateway -IP = Linux -IP eintragen, danach Windows neustarten
3.)Eigenschaften von Internetexplorer auf > Keine Verbindung
Eigenschaften fürs LAN > alles weghaken
(funkt bei W 9x, XP keine Ahnung !)
mfg Excalibur33

Hmm - damit hast Du zwar Masquerading aktiviert (also NAT - Network Address Translation ermöglicht), aber Deine Ports sind noch immer alle offen => keine Firewall.

Da fehlt zumindest ein
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
vor der POSTROUTING-Zeile, damit einmal deine Ports nicht nach aussen hin offen sind.

Siehe auch:
http://netfilter.samba.org/documenta...O-4.html#ss4.1
http://netfilter.samba.org/documenta...g-HOWTO-5.html
http://netfilter.samba.org/documentation/

Falls ich hier Topfen schreibe, bitte ich um freundliche Korrektur.

@_m3
nicht unbedingt,kommt drauf an, was am Server läuft.
Falls kein Dienste wie ftp oder http laufen, geht es ohne weiters nach meiner Anleitung: Korrigier mich wenn ich falsch liege, aber:

1.)Linuxserver läuft ohne Root-anmeldung( Firewall kann auch beim Starten automatisch aktiv werden), ohne Rootrechte kein Zugriff auf Dateiausführungen oder Änderungen.(falls jemand anpingen kann,kann er nur "lesen".
2.)Das dahinterliegende LAN ist in einer eigenen Arbeitsgruppe,wo du ebenfalls als User Anmeldung brauchst, (nicht sichtbar von aussen)
3.)Laufen keine Dienste wie hhtp oder ftp, wo ein Zugriff ermöglicht wird
4.)Kann man die FW jederzeit schrittweise erweitern, wodurch man gleich auf einen eventuellen Fehler kommt.
Das ist für einen Newbie wesentlich wichtiger,als von Haus aus gleich komplett dicht machen.
mfg Excalibur33

Das mit dem Topfen bezog sich auf die iptables-Statements ;)

Das Problem, das ich habe, ist, dass das, was Du beschrieben hast, keine Firewall ist. Gerade bei Posts für Newbies sollte man darauf achten, die korrekte Terminologie zu verwenden.Masquerading ist NICHT Firewalling. Du kannst eine Maschine mit Masquerading laufen haben, um Deine Clients ins Internet zu bringen, ohne auch nur eine minimale Firewall in Betrieb zu haben (wie in dem Script von Dir beschrieben).

Zu Deinen Punkten:

1) Ich kann mir nicht vorstellen, dass Dein Server keine root-Kennung hat. Dass Dein Script ohne interaktive Anmeldung läuft ist KEIN Sicherheitsmerkmal.

2) Eine Windows-Arbeitsgruppe ist KEIN Sicherheitsmerkmal. Eine zweite Firewall wäre eines.

3) Auch nicht Telnet, SSH, Squid, named, finger, .....?
Jede Maschine, die direkt mit dem Internet verbunden ist, ist täglich zig Attacken ausgesetzt und sollte zumindest durch eine rudimentäre Firewall (die vier Zeilen von mir weiter oben) geschützt werden.

4) So soll es ja auch sein, aber es ist KEINE Firewall!

Du merkst schon, ich bin ein i-Tüpferlreiter, was Begriffe betrifft, aber zwischen NAT/Masquerading und Firewall gibt es MASSIVE Unterschiede und ein Newbie, für den Du Dein Posting ja gedacht hast, sollte von Anfang an die korrekten Begriffe lernen.

@_m3
es soll doch eine schrittweise Eingabe (bzw Aufbau) sein, damit jederzeit ein Fehler bemekt wird, und man den letzten Schritt rückgängig machen kann, sodass der Dienst noch läuft.
Wie gesagt, eine FW für Newbies wie ich:
Ansonsten keine Einwände bei deine Ausführungen!!!
Aber irgendwo muss man anfangen, und gerade da tut sich ein Anfänger schwer, weil er keine Anleitung sondern lauter Howtos gelinkt kriegt!
Wenn ich schon helfe, dann richtig oder gar nicht!
Soweit meine einstellung
mfg Excalibur

Hi @all!

Dann geb' ich auch meine bescheidene Meinung kund!

Sicherheit im Internet ist eine ernstzunehmende Angelegenheit, die von vielen (auch professionellen Dienstleistern z.B regionale ISPs) viel zu wenig beachtet wird. Es finden sich genug ,v.a Windows Server mit z.B offenen Netbios Ports. Ich habe sogar einen speziellen Fall entdeckt (und den Betreiber auch aufgeklärt), wo bei den Windowsbenutzern im Kommentarfeld das Passwort eingetragen war :lol: .

Für private Anwender v.a. mit dynamischer IP schaut die Sache anders aus. Das ganze schrittweise anzugehen ist der richtige Weg, es stellt sich nur die Frage von welcher Seite es angegangen wird. Erst alles erlauben und langsam einschränken oder erst alles verbieten und langsam aufmachen; wobei letzteres mein Favorit ist.

Hast Du einen Linuxrouter, der keinen Dienst anbietet, kann im Normalfall wenig passieren. Dabei stört mich z.B besonders an SuSE, dass bei einer Normalinstallation 'zig Dienste im inetd laufen.

@Excalibur

Du solltest ja ein Anforderungsprofil an Deinen Router haben.
Nach diesen Anforderungen sind die IPTABLES-Regeln zu konfigurieren.
Also überprüfe ob nicht Dienste laufen, die gar nicht benötigt werden 'netstat -na', und dreh unnötiges ab.

Da die Möglichkeiten, Anforderungen und deren Umsetzung mit IPTABLES äußerst komplex sind (FTP ist nicht umbedingt einfach) gibt's auch keine Pauschallösung.
Ich mag Howtos auch nicht besonders und meine, dass sie erst nützlich werden, wenn grundlegendes Wissen vorhanden ist, dass ich mir durch Bücher anzueignen pflege.

Dazu 2 Tipps:
http://www.susepress.de/de/katalog/3...0_8/index.html
... auch für andere Distris geeignet!
http://www.amazon.de/exec/obidos/ASI...564378-6690968

Grüße

Manx

@Manx:
Ich kann mich deiner Meinung nur anschliessen, wobei ich allerdings den umgekehrten Weg gehen will, damit Newbies es gleich nutzen können, schrittweise die Sicherheit hinaufsetzen, dabei lernt er den Umgang und kann einen Fehler leichter bemerken!
Empfehlenswert ist dabei, nicht den ganzen Tag(24h) die Connection zu halten!!!
mfg Excalibur33

normalerweise liegt es mir fern, menschen zurechtzuweisen, die eine gewisse neigung verspüren, sich ohne ausreichende fachkenntnisse als experten darzustellen.

aber, hier wird ein völlig falsches bild von der komplexität einer echten firewall vermittelt. wer so eine firewall zusammenschustert hat es nicht besser verdient, wenn sein sys opfer böser buben wird.

eine firewall mit ip-tables und diversen proxies einzurichten übersteigt die fähigkeit von newbies und jenen, die aufgrund einer kernelcompilierung unter anleitung glauben, experten zu sein.

ich empfehle für excalibur folgende site:

http://koeln.ccc.de/artikel/hacker-werden.html

zur beruhigung aller: sie ist in deutsch geschrieben, also auch für den dau verständlich.
wer sich fragt, was das mit diesem thema zu tun hat, sollte folgendes bedenken:
nur wer die verschiedenen methoden der cracker kennt, also über das wissen eines hackers verfügt, kann wirklich sichere systeme aufsetzen. je mehr wissen, desto sicherer kann das sys konfiguriert werden. vielleicht sollte excalibur noch viel, viel mehr lesen bevor er eine firewall howto aufsetzt. besonders hohe verantwortung benötigt ein autor, der für sich in anspruch nimmt ein firewall howto für 'dummies' aufzusetzen. ein solches howto muß mindestens den doppelten umfang eines howtos für experten haben.

greetz
artemisia

@excalibur
falls du das wiedermal nicht verstehst, was ich da geschrieben hab, die übersetzung lautet:

hey alter, bleibt bei deinen rosen.

ES IST KEINE FIREWALL, GODDAMIT!
Mit dem Begriff Firewall gaukelst Du eine Sicherheit vor, die nicht gegeben ist.
Es ist eine NAT-Lösung, damit mehrere PCs über eine Linux-Box ins Internet kommen, aber keine Sicherheitslösung! Nenne es Gateway, Proxy oder Bridge - aber nicht Firewall. Eine Firewall ist ganz was anderes.
Das ist der Punkt, auf den ich hinaus will, OK?

@MANX: Mit den vier Zeilen erlaube ich keinen Verbindungsaufbau von aussen. D.h. Ich kann von innen (fast) alle Dienste nutzen (ftp, ICQ, ...) von aussen kann mir aber keiner leicht was anhaben, da ich alle Verbindungsaufbauten einfach droppe. Und FTP ist mit IPTABLES trivial, im Gegensatz zu ipchains.

@Excalibur33: Wenn Du möchtest, schick mir Deine externe4 IP als PM und ich poste, welche Ports bei Dir offen sind und welche Sicherheitsprobleme du dadurch hast.

Und der lieben Arti kann ich nur zustimmen, auch wenn ich es nicht so hart formuliert hätte - aber ich hab grad einen vollen Bauch und bin daher anscheinend zu gutmütig ;)

@Arti:dazu möcht ich dir nur sagen: jetzt wirst gemein!Das Recht steht dir noch lange nicht zu, bloss weilst mir am Anfang geholfen hast!
Wo wart ihr alle, als Ulraich und ich die von euch genannte FW installieren wollten? Ihr habt uns einfach hängen lassen, nur weils euch nicht gepasst hat, dass einer seine Meinung kundtut!
Wir könnten mit dem FW script beteits fertig sein !
Schaut so eure Hilfe aus, nur weil mal einer ein blödes Statement abgibt?
@_m3:Hast ja recht
ich weiss es auch, ich bin ja noch nicht fertig damit
@ alle Helfer:
Ihr könntet uns ja mit Rat zur Seite stehen, damit wir den Syntaxfehler in der FW korrigieren können, aber da habt ihr nix mehr wissen wollen.
Ich weiss schon, das es anstrengend ist, einen Anfänger jeden Schritt vorzukauen, aber laut Arti lernt ma ja nur, wenn man die Howtos liest, und selbst probiert. Das ist ihr aber jetzt auch nicht recht!
Dabei hab ich schon am Anfang gesagt, das ich als Newbie schnell lerne, aber einen Typ brauche, wo ich anfangen soll.
Jetzt entwickle ich Eigeninitiative, und das wird mit Beschimpfung belohnt, eine feine Art!
mfg Excalibur33

a geh .... und jetzt heulst?



aha du meinst also, wir sind dafür verantwortlich 24h darauf zu achten, des ihr kein mist verzapft?

und btw für alle, die die fachliche komponente mal wieder nicht missen möchten:

es gibt sie nicht, die firewall

es kommt immer auf das einzelne sys an.

und zu deinem syntaxfehler: das besteht nicht aus syntaxfehler das geschreibsel, sondern die ganze konzeption ist quatsch.

greetz
artemisia

Lieber Excalibur33 - das Statement steht Ihr zu, meine zarten Andeutungen hast Du ja nicht verstanden.
Oder möchtest Du die Verantwortung übernehmen, wenn ein NEwbie sich Dein Script einrichtet, glaubt er ist geschützt und dann gerooted wird? Ich glaube nicht.
Und wenn ich dann noch drei Posting brauche, bis Du akzeptierst, dass Dein Script KEINE Firewall repräsentiert, dann steht der Arti schon mal eine Meldung zu (die für Ihre Verhältnisse noch immer sehr zahm war).

Zurück zum Thema. Eine minimale aber brauchbare Firewall bekommt man, wenn Du die zwei vonmir geposteten Kapitel aus den HowTo's (die wirklich empfehlenswert sind) kombinierst.

Um Dein Posting des "Firewal-Scripts" zu korrigieren (in grün der alte Text):

Original geschrieben von Excalibur33
@ alle Redhat - user! mit Alcatel (NIC version)
Für alle, die ein Gateway für mehrere Rechner ins Internet [eine Firewall] haben wollen, die funzt, und damit auch die mails & Browsing und Internetsharing kann:
Folgendes Script in die Datei:gateway [Firewall] hineinkopieren:

#Geschrieben von Excalibur33
killall pppd
killall pptp
/sbin/iptables -F
echo "RESTART"
sleep s 5
/usr/sbin/pptp alcatel
sleep s 5
/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
echo 1>/proc/sys/net/ipv4/ip_forward
echo "DONE...."

Dieses Script ins Verzeichnis: /etc/rc.d/init.d/ [/bin/] kopieren

chmod 700 /etc/rc.d/init.d/gateway [firewall]

Danach starten mit: /etc/rc.d/init.d/gateway [firewall]
Das Scipt läuft durch und beendet sich automatisch [beenden mit: killall firewall]
Kommentar:
1.)Das pptp muss schon im Verzeichnis /usr/sbin/ sein
und die Einträge für /etc/ppp/options sowie resolf.conf und papsecrets sollten auch schon erledigt sein!!
Achtung bei UTA-benutzer: Logname ist mit "...." einzutragen!!
2.)auf den Windowsrechnern Eigenschaften von Netzwerk > NIC-Konfiguration > DNS
DNS aktivieren und Nameserver -IPs eintragen, Namen für Host eintragen= "Rechnername", Gateway -IP = Linux -IP eintragen, danach Windows neustarten
3.)Eigenschaften von Internetexplorer auf > Keine Verbindung
Eigenschaften fürs LAN > alles weghaken
(funkt bei W 9x, XP keine Ahnung !)
mfg Excalibur33

@Arti: Ich rede von dieser FW:Script http://www.onlinetravel.at/firewall2 , dessen Link ihr uns geschickt habt, und Ulraich sich überhaupt nicht raus sieht! Ich versteh zwar den Sinn, nicht die ganze Syntax "dieses" Scriptes.Es ist schon klar, das ich kein Experte bin, bloss weil ich kernelkomp. kann, deswegen aber gleich einen Newbie so anzusch..., ist aber nicht die feine engl. Art! Warum, sollte ich? Ich mach trotzdem weiter, in ein paar Tagen bin ich sicher fertig damit, jetzt erst RECHT!
zum 2.) klar, das keiner von euch verantwortlich ist, aber wenn ihr euch schon damit auseinandergesetzt habt, wäre es für euch wesentlich einfacher, uns mit nen Tip zu helfen, wo der Fehler steckt, bis jetzt weiss ich zumindest, das die Syntax erst ab Zeile 600 falsch läuft,und meiner Meinung liegt es am ppp_async: Die FW lässt nur SYNC zu.
Mein Script ist ja noch nicht fertig, genauer mitlesen!!
mfg Excalibur33

himmelsakra

es ist keine firewall ....

wann endlich verstehst du das?

und des weiteren ... ich hab dir diesen link mit sicherheit nicht geschickt ...

ajo ... apropos feine englische art:

jedem das, was er verdient.

sodele
von mir aus mach weiter ... mir ist es wurscht
ich geh in die sonne und werd mein radl putzen ... a la zen und die kunst ein motorrad zu warten

greetz
artemisia

@-m3:@_m3:Hast ja recht

quote:
--------------------------------------------------------------------------------
ES IST KEINE FIREWALL, GODDAMIT
--------------------------------------------------------------------------------

ich weiss es auch, ich bin ja noch nicht fertig damit!
Nur dein Link bezieht sich auf IP-chains für kernel 2.2 oder hab ich den falsch gelesen?
Es freut mich jedenfalls, das sich einige doch Gedanken machen.
OK, wenn ich die Korrektur fertig am Laufen hab, werd ichs neu posten!Zufrieden?
mfg Excalibur33

Also ich hab in dem Text nur iptables gelesen.

Excalibur33:
Warum installierst du eigentlich nicht gleich http://www.bastille-linux.org :)

@ _m3

... deine vier Zeilen hatte ich überlesen!

Grüße

Manx

@_m3: Auszug aus deinem Link:
4. Schnelle Uebersetzung vom 2.0er und 2.2er Kernel
Sorry an alle von Euch, die noch immer geschockt sind vom Uebergang von 2.0 (ipfwadm) auf 2.2 (ipchains). Es gibt gute und schlechte Neuigkeiten.

Zuerst einmal kannst Du ipfwadm und ipchains wie gewohnt weiterbenutzen. Um das zu tun, musst Du das 'ipchains.o' oder 'ipfwadm.o' Kernelmodul aus der letzten netfilter-Distribution laden (insmod). Diese beiden schliessen sich gegenseitig aus (Du bist gewarnt) und sollten nicht mit anderen netfilter-Modulen kombiniert werden.

Sobald eins dieser Module installiert ist, kannst Du ipchains und ipfwadm wie gewohnt benutzen, mit den folgenden Unterschieden:


Das Masquerading Timeout mit ipchains -M -S, oder mit ipfwadm -M -S, zu setzen,

usw., das passt irgendwie nicht! Der andere Link, ein paar Seiten weiter:

Wenn Du NAT auf einer Verbindung machst, muessen alle Pakete in beide Richtungen (in und aus dem Netzwerk) durch den NAT-Rechner, sonst wird es nicht zuverlaessig funktionieren. Im Besonderen heisst das, dass der connection tracking Code Fragmente wieder zusammensetzt, was bedeutet, dass Deine Verbindung nicht nur unzuverlaessig sein wird, sondern koennten Pakete sogar ueberhaupt nicht durchkommen, da Fragmente zurueckgehalten werden.
Soll keiner sagen, das ich mir die Links nicht anschau.
mfg Excalibur

Ich weiss ja nicht, was Du gelesen hast, aber
http://netfilter.samba.org/documenta...O-4.html#ss4.1 (warten, biss die Seite fertig geladen ist): http://netfilter.samba.org/documenta...g-HOWTO-5.html