Firewall für Dummys= für Excalibur

[MANX]

.. o.k, da ist einiges im Argen!

Hab die Threads nicht sooooo aufmerksam verfolgt, bitte nochmals zur Wiederholung.
Welches Linux?
Welcher Kernel?
Welcher Version von iptables? 'iptables -V'

... es sollte so aussehen.

Code:

mail:~ # iptables -vL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
mail:~ # iptables -V
iptables v1.2.2

Grüße

Manx

[Excalibur33]

Red Hat 7.1 prof. Seawolf
Kernel 2.4.17
iptables -V: v1.2.1a
mfg

[Excalibur33]

@ alle Redhat - user! mit Alcatel (NIC version)
Für alle, die eine Firewall haben wollen, die funzt, und damit auch die mails & Browsing und Internetsharing kann:
Folgendes Script in die Datei:Firewall hineinkopieren:

#Geschrieben von Excalibur33
killall pppd
killall pptp
/sbin/iptables -F
echo "RESTART"
sleep s 5
/usr/sbin/pptp alcatel
sleep s 5
/sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
echo 1>/proc/sys/net/ipv4/ip_forward
echo "DONE...."

Dieses Script ins Verzeichnis: /bin/ kopieren
chmod 700 firewall

Danach starten mit:firewall
beenden mit: killall firewall
Kommentar:
1.)Das pptp muss schon im Verzeichnis /usr/sbin/ sein
und die Einträge für /etc/ppp/options sowie resolf.conf und papsecrets sollten auch schon erledigt sein!!
Achtung bei UTA-benutzer: Logname ist mit "...." einzutragen!!
2.)auf den Windowsrechnern Eigenschaften von Netzwerk > NIC-Konfiguration > DNS
DNS aktivieren und Nameserver -IPs eintragen, Namen für Host eintragen= "Rechnername", Gateway -IP = Linux -IP eintragen, danach Windows neustarten
3.)Eigenschaften von Internetexplorer auf > Keine Verbindung
Eigenschaften fürs LAN > alles weghaken
(funkt bei W 9x, XP keine Ahnung !)
mfg Excalibur33

[_m3]

Hmm - damit hast Du zwar Masquerading aktiviert (also NAT - Network Address Translation ermöglicht), aber Deine Ports sind noch immer alle offen => keine Firewall.

Da fehlt zumindest ein
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
vor der POSTROUTING-Zeile, damit einmal deine Ports nicht nach aussen hin offen sind.

Siehe auch:
http://netfilter.samba.org/documenta...O-4.html#ss4.1
http://netfilter.samba.org/documenta...g-HOWTO-5.html
http://netfilter.samba.org/documentation/

Falls ich hier Topfen schreibe, bitte ich um freundliche Korrektur.

[Excalibur33]

@_m3

Zitat:

Falls ich hier Topfen schreibe, bitte ich um freundliche Korrektur

nicht unbedingt,kommt drauf an, was am Server läuft.
Falls kein Dienste wie ftp oder http laufen, geht es ohne weiters nach meiner Anleitung: Korrigier mich wenn ich falsch liege, aber:

1.)Linuxserver läuft ohne Root-anmeldung( Firewall kann auch beim Starten automatisch aktiv werden), ohne Rootrechte kein Zugriff auf Dateiausführungen oder Änderungen.(falls jemand anpingen kann,kann er nur "lesen".
2.)Das dahinterliegende LAN ist in einer eigenen Arbeitsgruppe,wo du ebenfalls als User Anmeldung brauchst, (nicht sichtbar von aussen)
3.)Laufen keine Dienste wie hhtp oder ftp, wo ein Zugriff ermöglicht wird
4.)Kann man die FW jederzeit schrittweise erweitern, wodurch man gleich auf einen eventuellen Fehler kommt.
Das ist für einen Newbie wesentlich wichtiger,als von Haus aus gleich komplett dicht machen.
mfg Excalibur33

[_m3]

Das mit dem Topfen bezog sich auf die iptables-Statements

Das Problem, das ich habe, ist, dass das, was Du beschrieben hast, keine Firewall ist. Gerade bei Posts für Newbies sollte man darauf achten, die korrekte Terminologie zu verwenden.

Zitat:

Die Firewall (Brandmauer) dient zur Absicherung eines Netzes gegenüber Angriffen von Ausserhalb. Eine Firewall analysiert die Daten, welche ankommen, und leitet sie, wenn sie gegen keine Regel verstossen weiter.

Zitat:

IP-Masquerading ist eine Netzwerkfunktion unter Linux, ähnlich der eine-zu-vielen Übersetzungen von Netzwerkadressen, die häufig in kommerziellen Firewalls und Netzwerkroutern anzutreffen sind. Wenn, zum Beispiel, ein Linux-Host mittels PPP, Ethernet, etc. mit dem Internet verbunden ist, erlaubt die Masquerading-Funktion anderen, intern mit dem Linux-Rechner verbundenen, Computern die Nutzung des Internet. Masquerading bietet diese Funktionalität sogar, wenn die internen Maschinen keine offiziell zugeteilten Internet-IP-Adressen haben.

Masquerading ist NICHT Firewalling. Du kannst eine Maschine mit Masquerading laufen haben, um Deine Clients ins Internet zu bringen, ohne auch nur eine minimale Firewall in Betrieb zu haben (wie in dem Script von Dir beschrieben).

Zu Deinen Punkten:

1) Ich kann mir nicht vorstellen, dass Dein Server keine root-Kennung hat. Dass Dein Script ohne interaktive Anmeldung läuft ist KEIN Sicherheitsmerkmal.

2) Eine Windows-Arbeitsgruppe ist KEIN Sicherheitsmerkmal. Eine zweite Firewall wäre eines.

3) Auch nicht Telnet, SSH, Squid, named, finger, .....?
Jede Maschine, die direkt mit dem Internet verbunden ist, ist täglich zig Attacken ausgesetzt und sollte zumindest durch eine rudimentäre Firewall (die vier Zeilen von mir weiter oben) geschützt werden.

4) So soll es ja auch sein, aber es ist KEINE Firewall!

Du merkst schon, ich bin ein i-Tüpferlreiter, was Begriffe betrifft, aber zwischen NAT/Masquerading und Firewall gibt es MASSIVE Unterschiede und ein Newbie, für den Du Dein Posting ja gedacht hast, sollte von Anfang an die korrekten Begriffe lernen.

[Excalibur33]

@_m3
es soll doch eine schrittweise Eingabe (bzw Aufbau) sein, damit jederzeit ein Fehler bemekt wird, und man den letzten Schritt rückgängig machen kann, sodass der Dienst noch läuft.
Wie gesagt, eine FW für Newbies wie ich:
Ansonsten keine Einwände bei deine Ausführungen!!!
Aber irgendwo muss man anfangen, und gerade da tut sich ein Anfänger schwer, weil er keine Anleitung sondern lauter Howtos gelinkt kriegt!
Wenn ich schon helfe, dann richtig oder gar nicht!
Soweit meine einstellung
mfg Excalibur

[MANX]

Hi @all!

Dann geb' ich auch meine bescheidene Meinung kund!

Sicherheit im Internet ist eine ernstzunehmende Angelegenheit, die von vielen (auch professionellen Dienstleistern z.B regionale ISPs) viel zu wenig beachtet wird. Es finden sich genug ,v.a Windows Server mit z.B offenen Netbios Ports. Ich habe sogar einen speziellen Fall entdeckt (und den Betreiber auch aufgeklärt), wo bei den Windowsbenutzern im Kommentarfeld das Passwort eingetragen war .

Für private Anwender v.a. mit dynamischer IP schaut die Sache anders aus. Das ganze schrittweise anzugehen ist der richtige Weg, es stellt sich nur die Frage von welcher Seite es angegangen wird. Erst alles erlauben und langsam einschränken oder erst alles verbieten und langsam aufmachen; wobei letzteres mein Favorit ist.

Hast Du einen Linuxrouter, der keinen Dienst anbietet, kann im Normalfall wenig passieren. Dabei stört mich z.B besonders an SuSE, dass bei einer Normalinstallation 'zig Dienste im inetd laufen.

@Excalibur

Du solltest ja ein Anforderungsprofil an Deinen Router haben.
Nach diesen Anforderungen sind die IPTABLES-Regeln zu konfigurieren.
Also überprüfe ob nicht Dienste laufen, die gar nicht benötigt werden 'netstat -na', und dreh unnötiges ab.

Da die Möglichkeiten, Anforderungen und deren Umsetzung mit IPTABLES äußerst komplex sind (FTP ist nicht umbedingt einfach) gibt's auch keine Pauschallösung.
Ich mag Howtos auch nicht besonders und meine, dass sie erst nützlich werden, wenn grundlegendes Wissen vorhanden ist, dass ich mir durch Bücher anzueignen pflege.

Dazu 2 Tipps:
http://www.susepress.de/de/katalog/3...0_8/index.html
... auch für andere Distris geeignet!
http://www.amazon.de/exec/obidos/ASI...564378-6690968

Grüße

Manx

[Excalibur33]

@Manx:
Ich kann mich deiner Meinung nur anschliessen, wobei ich allerdings den umgekehrten Weg gehen will, damit Newbies es gleich nutzen können, schrittweise die Sicherheit hinaufsetzen, dabei lernt er den Umgang und kann einen Fehler leichter bemerken!
Empfehlenswert ist dabei, nicht den ganzen Tag(24h) die Connection zu halten!!!
mfg Excalibur33

[artemisia]

normalerweise liegt es mir fern, menschen zurechtzuweisen, die eine gewisse neigung verspüren, sich ohne ausreichende fachkenntnisse als experten darzustellen.

aber, hier wird ein völlig falsches bild von der komplexität einer echten firewall vermittelt. wer so eine firewall zusammenschustert hat es nicht besser verdient, wenn sein sys opfer böser buben wird.

eine firewall mit ip-tables und diversen proxies einzurichten übersteigt die fähigkeit von newbies und jenen, die aufgrund einer kernelcompilierung unter anleitung glauben, experten zu sein.

ich empfehle für excalibur folgende site:

http://koeln.ccc.de/artikel/hacker-werden.html

zur beruhigung aller: sie ist in deutsch geschrieben, also auch für den dau verständlich.
wer sich fragt, was das mit diesem thema zu tun hat, sollte folgendes bedenken:
nur wer die verschiedenen methoden der cracker kennt, also über das wissen eines hackers verfügt, kann wirklich sichere systeme aufsetzen. je mehr wissen, desto sicherer kann das sys konfiguriert werden. vielleicht sollte excalibur noch viel, viel mehr lesen bevor er eine firewall howto aufsetzt. besonders hohe verantwortung benötigt ein autor, der für sich in anspruch nimmt ein firewall howto für 'dummies' aufzusetzen. ein solches howto muß mindestens den doppelten umfang eines howtos für experten haben.

greetz
artemisia

@excalibur
falls du das wiedermal nicht verstehst, was ich da geschrieben hab, die übersetzung lautet:

hey alter, bleibt bei deinen rosen.