Firewall script

K@sperl · 05.09.2002, 18:22

Ich hab mal das Firewall script von Sloter ausprobiert www.onlinetravel.at/firewall2
Es läuft bei mir jedoch nicht, denn sobald ich irgendeine Verbindung aufbauen will, egal ob nur einen Host pingen oder Mails abrufen, geht nichts, die ADSL Verbindung wird beendet ... Egal ob ich das direkt am Router oder von einem Client versuche.
Ich hab mir jetzt das script genauer angesehen, kann jedoch den Fehler nicht finden ...
Hat jemand von Euch dieses script am laufen?

Philipp · 05.09.2002, 19:03

Warum nimmst du nicht gleich Bastille Linux? Die Konfiguration ist zwar etwas Aufwendig aber es lohnt sich

K@sperl · 05.09.2002, 19:06

Nein, hab jetzt Debian und will es auch dabei belassen

Philipp · 05.09.2002, 19:16

Bastille Linux http://www.bastille-linux.org ist kein Betriebssystem sondern ein Sicherheitstool mit den man einen Server oder auch Workstation komplett absichern kann.

Es ist auch auf den Debian Woody CDs enthalten. Suche mit aptitude danach

Philipp · 05.09.2002, 19:21

Download gibt es auch hier: http://packages.debian.org/stable/admin/bastille.html

Lotussteve · 05.09.2002, 19:33

Hallo!

Diese zwei Bugreports lassen mich von einer Verwendung zumindest des Woodypakets zurückschrecken:

http://bugs.debian.org/cgi-bin/bugre...peatmerged=yes
http://bugs.debian.org/cgi-bin/bugre...peatmerged=yes

Die in Sarge schaut besser aus scheints.

Ciao,

Steve

K@sperl · 05.09.2002, 19:37

Ich bleib sowieso bei den iptables, wenn ich doch nur das script zum Laufen bringen könnte ...

Philipp · 05.09.2002, 19:48

Zitat:

Diese zwei Bugreports lassen mich von einer Verwendung zumindest des Woodypakets zurückschrecken:

Ich habe es noch nicht unter Debian getestet. Ich selber verwende es derzeit auf meinen Red Hat Linux Servern. Es ist meiner Meinung nach das beste Tool um einen Server wirklich komplett abzusichern.

Sloter · 05.09.2002, 20:50

Hy

Hm....funzt eigentlich sehr gut.
Richtige IP-Range eingetragen?

Hast du etwas geändert?
Zuerst einwählen und dann das Script starten.

Sloter

K@sperl · 05.09.2002, 20:57

@Sloter:

Hab den Fehler gefunden:
Und zwar funktioniert folgende Regel bei mir nicht:
$IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport $UNPRIVPORTS -m state --state RELATED -j TCPACCEPT
$IPTABLES -A INPUT -i $EXTIF -p udp --dport $UNPRIVPORTS -m state --state RELATED -j ACCEPT

Ich muß bei diesen das Interface rausnehmen (-i $EXTIF), dann geht's ...
Aber eigentlich sollte ja das Interface drin stehen, oder ist das eine Sicherheitslücke?

05.09.2002, 18:22	#1
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	Firewall script Ich hab mal das Firewall script von Sloter ausprobiert www.onlinetravel.at/firewall2 Es läuft bei mir jedoch nicht, denn sobald ich irgendeine Verbindung aufbauen will, egal ob nur einen Host pingen oder Mails abrufen, geht nichts, die ADSL Verbindung wird beendet ... Egal ob ich das direkt am Router oder von einem Client versuche. Ich hab mir jetzt das script genauer angesehen, kann jedoch den Fehler nicht finden ... Hat jemand von Euch dieses script am laufen?

05.09.2002, 19:33	#6
Lotussteve Inventar Registriert seit: 23.09.2000 Beiträge: 2.321	Hallo! Diese zwei Bugreports lassen mich von einer Verwendung zumindest des Woodypakets zurückschrecken: http://bugs.debian.org/cgi-bin/bugre...peatmerged=yes http://bugs.debian.org/cgi-bin/bugre...peatmerged=yes Die in Sarge schaut besser aus scheints. Ciao, Steve ____________________________________ -- www.cargal.org GnuPG-key-ID: 0x051422A0 \"Be the change you want to see in the world\"-Mahatma Gandhi Jabber-ID:lotussteve@cargal.org

05.09.2002, 19:03	#2
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Warum nimmst du nicht gleich Bastille Linux? Die Konfiguration ist zwar etwas Aufwendig aber es lohnt sich

05.09.2002, 19:06	#3
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	Nein, hab jetzt Debian und will es auch dabei belassen

05.09.2002, 19:16	#4
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Bastille Linux http://www.bastille-linux.org ist kein Betriebssystem sondern ein Sicherheitstool mit den man einen Server oder auch Workstation komplett absichern kann. Es ist auch auf den Debian Woody CDs enthalten. Suche mit aptitude danach

05.09.2002, 19:21	#5
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Download gibt es auch hier: http://packages.debian.org/stable/admin/bastille.html

05.09.2002, 19:37	#7
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	Ich bleib sowieso bei den iptables, wenn ich doch nur das script zum Laufen bringen könnte ...

05.09.2002, 20:50	#9
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Hy Hm....funzt eigentlich sehr gut. Richtige IP-Range eingetragen? Hast du etwas geändert? Zuerst einwählen und dann das Script starten. Sloter

05.09.2002, 20:57	#10
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	@Sloter: Hab den Fehler gefunden: Und zwar funktioniert folgende Regel bei mir nicht: $IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -p tcp --dport $UNPRIVPORTS -m state --state RELATED -j TCPACCEPT $IPTABLES -A INPUT -i $EXTIF -p udp --dport $UNPRIVPORTS -m state --state RELATED -j ACCEPT Ich muß bei diesen das Interface rausnehmen (-i $EXTIF), dann geht's ... Aber eigentlich sollte ja das Interface drin stehen, oder ist das eine Sicherheitslücke?

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)