Sloter & Valo zum Thema Firewall von Excalibur33 - Seite 2

Lotussteve · 21.05.2002, 18:14

Zitat:

Original geschrieben von Excalibur33
Abgesehn davon ist das doch ein Forum, wo man seine Meinung oder sein Anliegen veröffentlicht, was ist also falsch daran, dass ich davon Gebrauch mache?

Hallo!

Ein letzter Versuch:

Stell dir vor, z.B. ich hätte einen Thread eröffnet:

"Excalibur33, wegen Firewall --> alles falsch!"

und mich auf einen anderen Thread bezogen.

Hätte dir das gefallen?

Sowas hat Platz vielleicht gerade noch im Offtopicforum, hat aber NIX mit Anliegen zu tun, sondern ist eine Meinungsäusserung, dessen Klärung IMHO nicht unbedingt in die Belange des GNU/Linuxforums fällt.

Du hast nur deine abhanden kommende Glaubwürdigkeit durch die Kritik von Sloter lamentiert,mehr nicht. Wenn, dann hättest du es im gleichen Thread machen können, wo es gerade noch passt. Aber nicht einen eigenen Thread mit fast anklagendem Titel.

Konntest du mir jetzt folgen?

Ciao,

Steve

maXTC · 21.05.2002, 18:16

endlich,... ein "freier" streit

wizo · 21.05.2002, 18:19

was soll ein freier streit sein?
gibts gefangene auch

Excalibur33 · 21.05.2002, 18:47

@Lotussteve:

Zitat:

Konntest du mir jetzt folgen?

Und ob ich dir folgen kann: Du meinst also IMHO : falls dir jemand deinen Thread ruiniert, (der mit nem Linuxscript zusammenhängt) dann schick ihm eine PM oder Mail, damit andere Newbies nicht mitkriegen, das sich ein "alter Hase" auch mal irrt, aber es nicht öffentlich zugeben muss:
Sloter hätte genausogut schreiben können: der ganze Thread ist Schwachsinn, und ich hätte bestenfalls im eigenen Thread vermerken dürfen: JA, das stimmt! Aber wirklich nicht, wenn, dann hätte er zumindest schreiben müssen: aus dem oder dem Grund funkts nicht!
Von mir aus können wir diesen Thread schliessen oder Löschen ,wenn die Meldung von Sloter auch aus meinen Thread genommen wird, bis er das Gegenteil beweisen kann!Deswegen auch ein neuer Thread!
Wenn du so einen Thread begründen könntest, wär ICH nicht mal angfressen!>

Zitat:

"Excalibur33, wegen Firewall --> alles falsch!"

Also warum regst du dich so auf, ich bin vielleicht in meiner Art direkt, aber es entspricht den Tatsachen, und die kannst du auch nicht leugnen.Warum liest es dann überhaupt? Dich hat es gar nicht betroffen!
mfg Excal

wizo · 21.05.2002, 18:51

als daß sloter falsch liegt daß ich glaub ich irgendwie nicht
vieleicht tritt er ja den beweis an

Sloter · 21.05.2002, 19:47

Hy Jungs

Ehre und Stärke

Flanders hat dich auf die Policy aufmerksam gemacht

Die Datenpakete durchlaufen die jeweiligen Filterregeln von oben nach unten.
Bast eine Regel auf die Filterkette wird die Kette verlassen (ausser wenn geloggt wird) wird aber keine Regel gefunden entscheidet die Default Policy

$IPTABLES -p INBUT Drop
$IPTABLES -p INBUT DROP
$IPTABLES -p OUTPUT DROP

Das nur unsere Regeln aktiv sind empfiehlt es sich noch mit
$IPTABLES -F das löschen aller Chains, beugt kleinen ungereimtheiten vor.

ICMP
Exi das sind kleine Datenpakete die uns auskunft über unser Netzwerk geben können.
zB. ping oder auch fregmation needed.
Unterbindest du solche Datenpakete kann die Datenübertragung in der Performanz unheimlich beeinflußt werden.
Ausserdem verlierst du noch die angenehmen Werkzeuge in der Fehlersuche...ping tracert usw..
Natürlich läßt sich das Verfeinern, das nur ausgehende Pings zB durchgelassen werden.
Na ja, dann währe halt noch source-Quench,time-exceeding und parameter-problem, das kommt dann nächste mal drann

Identd:
$IPTABLES -A INPUT -p TCP --dport auth --syn -j REJECT
Schnellerer Verbindungsaufbau zu FTP-Server, keine Gefahr für ein Timeout

<iptables -A block -j DROP
Du setzt eine Filterregel ohne voriger Regelkette

Es würden auch etwas mehr sicherheit dem Server auch nicht schaden.
TCPSYNLIMIT
TCPSYNLIMITBURST
LOGLIMIT
LOGLIMITBURST
PINGLIMIT
PINGLIMITBURST
Das ist das erste was ich ausprobieren würde

Du machst einfach die Kiste dicht, bringst ein cooles "FIREGATE AKTIV"
und eigentlich ist da nichts...Danke für gar nichts

Ein jeder Hobbycracker schießt mir den Server im nu ab und ich kann intern fast nichts nützen.
Und du posaunst groß raus ADSL inkl Firewall..beser währe inkl. Routingfunktion.
Ich versteh auch nicht warum du so sauer bist, ein jeder gibt dir Tips und Hinweise wie du dein Projekt verbessern kannst und du nimmst nichts an.
Blätter einmal weiter in deinem Buch und schau in ein weiteres...diese Welt ist sehr groß.

Sloter

Ps:
<Im übrigen hab ich meinem Rechner selbst einen Ping geschickt, <welchen er nicht beantwortet hat. Weiterer Kommentar überflüssig!
Da war kein normaler ping gemeint, da gibt es auch böse pings

Excalibur33 · 21.05.2002, 20:12

OK, die FW mir DOKU:

#! /bin/sh
#Geschrieben von Excalibur
killall pppd
killall pptp
#Alle Regeln löschen
iptables -F
iptables -t nat -F
echo "RESTART"
sleep s 5
# Verbindungsaufbau
/usr/sbin/pptp alcatel
sleep s 5
# Ein Router sollte Pakete vom Typ destination - unreachable #bearbeiten
iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
# Kette erstellen, die neue Verbindung blockt, ausser sie kommt von #innen
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
# Von INPUT und FORWARD Ketten zu dieser Kette springen
iptables -A INPUT -j block
iptables -A FORWARD -j block
# Maskieren der lokalen Rechner
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo "FIREGATE AKTIV"
#Scriptende

Zitat:

im Moment aber werden wir uns mit einem einfachen Script begnügen,das die eingehenden Pakete filtert, sozusagen eine IP -Filter FW

Das hab ich vorangestellt
mfg Excal

Sloter · 21.05.2002, 20:31

<im Moment aber werden wir uns mit einem einfachen Script <begnügen,das die eingehenden Pakete filtert, sozusagen eine IP -<Filter FW
Das ganze ist ein Paketfilter nicht nur deine zwei Zeilen...

Sloter

quaylar · 21.05.2002, 20:33

1) Du hast wieder keine Policies drinnen
2) Du wirst weder von diesem Rechner noch von irgendeinem dahinter jemals eine Box im Internet pingen können.
3)Ausserdem würd ich die Sprünge in die INPUT und FORWARD chain vor den rules für die block chain setzen.
Schließlich werden die INPUT und FORWARD chains vor allen user-defined chains angesprochen.

--qu

Excalibur33 · 21.05.2002, 20:38

@ qaylar: ich hab nur das alte FW Script dokumentiert. Ist noch kein neues!!!
mfg Excal
C:\WINDOWS>ping www.chello.at

PING wird ausgeführt für portal.chello.at [195.34.133.82] mit 32 Bytes Daten:

Antwort von 195.34.133.82: Bytes=32 Zeit=61ms TTL=250
Antwort von 195.34.133.82: Bytes=32 Zeit=78ms TTL=250
Antwort von 195.34.133.82: Bytes=32 Zeit=81ms TTL=250
Antwort von 195.34.133.82: Bytes=32 Zeit=99ms TTL=250

Ping-Statistik für 195.34.133.82:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 61ms, Maximum = 99ms, Mittelwert = 79ms

das ist der Ping von W 9x Rechner durch Linux mit FW.

21.05.2002, 18:16	#12
maXTC Inventar Registriert seit: 02.02.2001 Ort: South Central Alter: 50 Beiträge: 7.248	endlich,... ein "freier" streit ____________________________________ A.C.A.B.

21.05.2002, 18:19	#13
wizo Inventar Registriert seit: 13.12.1999 Alter: 43 Beiträge: 2.929	was soll ein freier streit sein? gibts gefangene auch ____________________________________ //---< wizo >---\\\\

21.05.2002, 18:51	#15
wizo Inventar Registriert seit: 13.12.1999 Alter: 43 Beiträge: 2.929	als daß sloter falsch liegt daß ich glaub ich irgendwie nicht vieleicht tritt er ja den beweis an ____________________________________ //---< wizo >---\\\\

21.05.2002, 20:33	#19
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	1) Du hast wieder keine Policies drinnen 2) Du wirst weder von diesem Rechner noch von irgendeinem dahinter jemals eine Box im Internet pingen können. 3)Ausserdem würd ich die Sprünge in die INPUT und FORWARD chain vor den rules für die block chain setzen. Schließlich werden die INPUT und FORWARD chains vor allen user-defined chains angesprochen. --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

21.05.2002, 19:47	#16
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Hy Jungs Ehre und Stärke Flanders hat dich auf die Policy aufmerksam gemacht Die Datenpakete durchlaufen die jeweiligen Filterregeln von oben nach unten. Bast eine Regel auf die Filterkette wird die Kette verlassen (ausser wenn geloggt wird) wird aber keine Regel gefunden entscheidet die Default Policy $IPTABLES -p INBUT Drop $IPTABLES -p INBUT DROP $IPTABLES -p OUTPUT DROP Das nur unsere Regeln aktiv sind empfiehlt es sich noch mit $IPTABLES -F das löschen aller Chains, beugt kleinen ungereimtheiten vor. ICMP Exi das sind kleine Datenpakete die uns auskunft über unser Netzwerk geben können. zB. ping oder auch fregmation needed. Unterbindest du solche Datenpakete kann die Datenübertragung in der Performanz unheimlich beeinflußt werden. Ausserdem verlierst du noch die angenehmen Werkzeuge in der Fehlersuche...ping tracert usw.. Natürlich läßt sich das Verfeinern, das nur ausgehende Pings zB durchgelassen werden. Na ja, dann währe halt noch source-Quench,time-exceeding und parameter-problem, das kommt dann nächste mal drann Identd: $IPTABLES -A INPUT -p TCP --dport auth --syn -j REJECT Schnellerer Verbindungsaufbau zu FTP-Server, keine Gefahr für ein Timeout <iptables -A block -j DROP Du setzt eine Filterregel ohne voriger Regelkette Es würden auch etwas mehr sicherheit dem Server auch nicht schaden. TCPSYNLIMIT TCPSYNLIMITBURST LOGLIMIT LOGLIMITBURST PINGLIMIT PINGLIMITBURST Das ist das erste was ich ausprobieren würde Du machst einfach die Kiste dicht, bringst ein cooles "FIREGATE AKTIV" und eigentlich ist da nichts...Danke für gar nichts Ein jeder Hobbycracker schießt mir den Server im nu ab und ich kann intern fast nichts nützen. Und du posaunst groß raus ADSL inkl Firewall..beser währe inkl. Routingfunktion. Ich versteh auch nicht warum du so sauer bist, ein jeder gibt dir Tips und Hinweise wie du dein Projekt verbessern kannst und du nimmst nichts an. Blätter einmal weiter in deinem Buch und schau in ein weiteres...diese Welt ist sehr groß. Sloter Ps: <Im übrigen hab ich meinem Rechner selbst einen Ping geschickt, <welchen er nicht beantwortet hat. Weiterer Kommentar überflüssig! Da war kein normaler ping gemeint, da gibt es auch böse pings

21.05.2002, 20:31	#18
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	<im Moment aber werden wir uns mit einem einfachen Script <begnügen,das die eingehenden Pakete filtert, sozusagen eine IP -<Filter FW Das ganze ist ein Paketfilter nicht nur deine zwei Zeilen... Sloter

21.05.2002, 20:38	#20
Excalibur33 Elite Registriert seit: 18.11.2001 Beiträge: 1.130	@ qaylar: ich hab nur das alte FW Script dokumentiert. Ist noch kein neues!!! mfg Excal C:\WINDOWS>ping www.chello.at PING wird ausgeführt für portal.chello.at [195.34.133.82] mit 32 Bytes Daten: Antwort von 195.34.133.82: Bytes=32 Zeit=61ms TTL=250 Antwort von 195.34.133.82: Bytes=32 Zeit=78ms TTL=250 Antwort von 195.34.133.82: Bytes=32 Zeit=81ms TTL=250 Antwort von 195.34.133.82: Bytes=32 Zeit=99ms TTL=250 Ping-Statistik für 195.34.133.82: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 61ms, Maximum = 99ms, Mittelwert = 79ms das ist der Ping von W 9x Rechner durch Linux mit FW.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)