Sloter & Valo zum Thema Firewall von Excalibur33 - Seite 3

Sloter · 21.05.2002, 21:31

Mehr als ein neuerliches Posting vom Script kommt nicht

Jetzt habe ich ein paar Fehler und Schwächen dokumentiert...
..mach ma ein wenig auf Vogel Straus

Sloter

Excalibur33 · 21.05.2002, 22:07

@Sloter:
Wolten einige wissen ,warum , deshalb das alte mit der Doku!
Für ein Neues reicht die Zeit nicht, weil ich damit beschäftigt werde, meinen Blutdruck zu überwachen

Ich werd schon noch ans schreiben,altes sollte dafür sein, den Rechner dicht zu machen, und damit ist er dicht von aussen, und von drin geht alles!!Probiers doch amal auf deiner Maschin aus,ping raus =ja, ping rein =nente! Ist des net fürs Erste für an Einsteiger mehr als genug?
Ihr lests alle net so ganz genau, wollts aber imma genaue Begriffsdefinitionen haben! Dafür kann i nix!(fürs ungenaue Lesen!)
und jetz tschübaba & Guate Nocht
mfg Excal

artemisia · 22.05.2002, 00:14

Zitat:

Original geschrieben von Excalibur33

Ich werd schon noch ans schreiben,....

bitte tu uns das nicht an!

greetz
artemisia

Sloter · 22.05.2002, 07:28

Du weichst meinen Argumenten mit einem ping aus, das macht aber noch lange gute Firewall aus.
Du hast noch immer null Schutz gegenüber Attacken aus dem Netz, usw..

Ein zweites mal schreibe ich nicht alles auf, einmal sollte reichen.

Dein Blutdruck ist sicher nicht zu hoch, schätze eher auf eine ischemie der Gefäße.

Sloter

Excalibur33 · 22.05.2002, 07:32

Morgen!!
@Meine Göttin:Ich hab mich scho gewundert, dasst net schreibst:Spät aber doch

Zum Thema:Klarerweise kann man das Script ausbauen:Wenn man erreichen will, das die Box auf nen Ping von aussen reagiert, fügt man am Beginn des Listings ein:
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j ACCEPT

Sollen die Replies limitiert werden:
iptables -A INPUT -i ppp0 -p icmp-type echo-request -m limit --limit 1/sec -j ACCEPT

Soll der Server öffentlich Dienste anbieten, müssen diese explicit freigeschalten werden:
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

Genauso kann man den SSH-Port schützen:
iptables -A INPUT -p tcp --dport 22 -m limit --limit 1/sec -m state --state NEW -j ACCEPT

Es bringt aber nur was, wenn man den (die)Dienst(e) anbietet!

Man könnte genauso einen Angriff mitprotokollieren:

iptables -I INPUT -p tcp --dport 23 -j LOG --log-prefix "Telnet-Zugriff:"

Mit "iptables" hat man 2 mögliche Varianten des Schutzes:
Vertrauen: Alles ist erlaubt, was nicht explicit verboten wird!
Misstrauen: Alles ist verboten, was nicht explicit erlaubt wird.
Da lag mein Ansatz: Die Default-Policies sind auf DROP!!!
Da ich sonst keine Dienste anbiete, brauch ich auch nix erlauben!

WAS IST DARAN FALSCH oder NICHT KORREKT? liebe Community!
mfg Excal

MANX · 22.05.2002, 08:34

Hi @all!

Ich geb' auch noch meinen Senf dazu und vielleicht schaffen wir's doch noch, aus diesem banalen Hickhack heraus, die Kurve zu kratzen, um am Ende noch was produktives herauszubekommen. (was auch interessierten Newbies in Sachen IPTABLES und Netzwerksicherheit weiterhilft)

@Excalibur.

Vorweg mal alle Achtung! Du hast Dich in relativ kurzer Zeit sehr intensiv mit der Materie auseinander gesetzt (-setzen müssen

) und hast auch, mit großer Unterstützung durch das Forum, aber vor allem duch persönliches Engagement sehr viel weitergebracht und gelernt.
Deshalb solltest Du auch jetzt besser verstehen können, was mit Links posten bzw. einem mürrischen RTFM gemeint war, das Dich anfangs so entzürnte.
In dieser Thematik ist es meiner Meinung nach nicht vernünftig, einem Neuling Zeile für Zeile ein IPTABLES-Script vorzubeten, wenn es nicht verstanden wird. Und der Hintergrund (TCP/IP ICMP uvw.) ist riesengroß!

Dein Script ist wirklich etwas rudimentär, aber so schlecht auch wieder nicht. Schau Dir vielleicht das noch an:
http://www.swobspace.de/ext/firewall...fw-dyn2.script (bei den ssh_ports aufpassen!!)

@Sloter

Default Policy und Flush der Regeln => ein MUSS
identd => sinnvoll
Ping of Death => bringt der nicht nur WIN95 aus dem Konzept, vielleicht noch einen alten 2.0 Kernel
DOS => bei einem Heimuser eher unwahrscheinlich (DDOS sowieso nicht, bzw kannst eh nix unternehmen)

Abschließend vielleicht noch (möglicherweise können wir uns auf einen Kompromiss einigen):

Wer IPTABLES einsetzen will, muss:

* davon ausgehen, dass es sich um ein Profiwerkzeug handelt ...
* wahrscheinlich einige Bücher konsumieren, um wirklich verstanden haben, wie das Internet funktioniert ...
* ... to be continued (everyone's invited)

Grüße

Manx

Excalibur33 · 22.05.2002, 09:48

Vielen Dank, Manx
Möcht hier kurz mal was erklären, mein Warum und Wieso und Generelles!
Also

as mich Informatik und generell Elektronik immer fasziniert hat, und ich damit "umzugehen" weiss, liegt daran,dass ich mich sehr früh( in den 60ern )schon damit beschäftigt habe. Als andere Jungs in meinem Alter fussballspielen gingen, lötete ich meine 1. Funkfernsteuerung zusammen, baute mit 14 meinen 1. Verstärker mit EL34 Gegentaktendstufe zusammen, mit 15 in die HTL Schellinggasse in Wien( Hochfrequenz u. Nachrichtentechnik), mit 16 die 1. Lautsprecherboxen mit Frequenzweichen, usw.
Machte mich mit 25 selbständig, und stieg Mitte der 80er auf DOS und Computer ein! Lernte damit umzugehen, und schrieb sogar kleine Progs., die ich heute noch zum Teil benutze.Brachte mir auch das KnowHow zu Windows95 bei,und beschäftigte mich auch damit sehr intensiv. Das ich zu Linux kam, hatte den Grund,dass ich ein zuverlässiges Sys für meinen Server wollte, und keine Lust hatte, Microsoft noch weiter zu unterstützen.Deshalb hab ich mich schon vor nen 1/2 Jahr ins Linux eingelesen, erst im März dieses Jahres meinen selbst gebauten Rechner mit diesem OS aufgesetzt, und dann herumexperementiert. Danach wollte ich den ADSL Zugang konf., und mich ans Forum gewandt.
Eins kann ich aus Erfahrung jetzt schon sagen: Leicht wirds einem nicht gemacht, vielleicht ist es auch gut so, aber das waren den auch meine Beweggründe, warum ich die Anleitung gepostet habe.
Mir ist schon klar, das man als Newbie ziemlich nerven kann, aber dass man sich schneller unbeliebt macht( mit 1x Blödsinn posten), als dass man in die Community aufgnommen wird, als interessierter Linuxer, war mir bis datto unbekannt. Ich hab gedacht, bischen Humor kann nicht schaden, ist aber manchen sauer aufgestossen!
Nur, dass ich mich jetzt behaupten will,(bei dem, was ich schon weiss)ist eigentlich verständlich, oder?
Vielleicht kommen meine Posts manchmal präpotent rüber, liegt aber daran, das mich niemand wirklich kennt.
Zum Thema selbst: Stimmt, ist rudimentär, war auch beabsichtigt, deshalb auch keine Doku, ums klein zu halten! Das es keine FW auf CD ist, dafür fehlen mir noch die Kenntnisse, meine Absicht dabei war nur, den Einsteigern eine Brücke zu bauen, damit sie nicht gleich die Flinte ins Korn werfen,( DIE Materie ist nicht ohne!) weil ich es fast getan hätte! Das ich es geschafft habe, ist unbestritten ein grosser Verdienst dieses Forums, das mich einfach gefordert hat!
Aber irgendwann soll mans gut sein lassen!
mfg Excal

citizen428 · 22.05.2002, 10:47

Zitat:

Original geschrieben von MANX
1. Ping of Death => bringt der nicht nur WIN95 aus dem Konzept, vielleicht noch einen alten 2.0 Kernel

2. DOS => bei einem Heimuser eher unwahrscheinlich (DDOS sowieso nicht, bzw kannst eh nix unternehmen)

3. Wer IPTABLES einsetzen will, muss:
* davon ausgehen, dass es sich um ein Profiwerkzeug handelt ...
* wahrscheinlich einige Bücher konsumieren, um wirklich verstanden haben, wie das Internet funktioniert ...
* ... to be continued (everyone's invited)

ad 1. Stimmt. Zumindest meinen Infos nach gibt es dieses Problem nur bei Kernelversionen < 2.0.23.

ad 2. Würd ich auch so sagen. Hier scheint es aber eine Menge Infos zu DDOS zu geben, sieht interessant aus.

ad 3. * damit rechnen einiges an Zeit zu investieren und nicht glauben von heute auf morgen eine perfekte Firewall zu haben.

Sloter · 22.05.2002, 10:55

Du kannst aber nicht erwarten, das wenn du dir zuerst helfen läßt und dich dann damit bedankst das du meinst, das es eine schwache Leistung war, was da geboten wurde.
Das hat nichts mit einem Späßchen zu tun.

@Manx
Wenn du die neuen feinen Abwehrmechanismen nicht einbaust, hat das ganze nicht viel Sinn. Wie schon geschrieben hebelt jeder Hobbycracker meinen Rechner aus, und dann ist tote Hose mit Surfen.
Er kommt ja auch damit daher das er nur Protokollieren möchte.
Nächste Schwachstelle wird da geöffnet.

Ich will nur klarstellen, das "ein" aufgesetzter Rechner noch lange keinen Profi macht, und schon gar keinen Firewallexperten..die habe ich etwas anders in Erinerung.

Und eines möchte ich noch klarstellen, Exi hat den Thread und die Beleidigungen begonnen.
Wenn er zu wenig Ahnung hat um sich zu verteidigen soll er lieber nachdenken was er schreibt oder es bleiben lassen und nicht die große Lippe führen was er nicht alles mit "seiner" Firewall machen kann.
Ausser ausweichen und weitere Beleidigungen habe ich bis jetzt nichts gelesen.
Vielleicht kommt ja einmal ein fachliches Posting, er braucht ja nur ein paar Seiten weiterlesen in seinem Buch...

Sloter

Excalibur33 · 22.05.2002, 11:34

Zitat:

Original geschrieben von Sloter:
Firewall ist etwas übertrieben, die Kiste setzt jeder mit einem Ping of Dead, Synflood oder Dos ausser Betrieb.

Wer hat also damir angefangen, ohne zu begründen?
Die "KISTE", wie dus nennst, reagiert nicht mal auf nen Ping!

Zitat:

Original vom _m3:Lang hats gedauert, aber nun dürftest auch Du das Licht gesehen haben!

Kann daher nicht verstehen, wieso ich falsch lieg!
Und das ich ein Profi in Sachen FW bin, hab ich NIE behauptet!
Sloter, nicht böse sein, aber du solltest wirklicher genauer lesen!
mfg Excal

22.05.2002, 09:48	#27
Excalibur33 Elite Registriert seit: 18.11.2001 Beiträge: 1.130	Vielen Dank, Manx Möcht hier kurz mal was erklären, mein Warum und Wieso und Generelles! Alsoas mich Informatik und generell Elektronik immer fasziniert hat, und ich damit "umzugehen" weiss, liegt daran,dass ich mich sehr früh( in den 60ern )schon damit beschäftigt habe. Als andere Jungs in meinem Alter fussballspielen gingen, lötete ich meine 1. Funkfernsteuerung zusammen, baute mit 14 meinen 1. Verstärker mit EL34 Gegentaktendstufe zusammen, mit 15 in die HTL Schellinggasse in Wien( Hochfrequenz u. Nachrichtentechnik), mit 16 die 1. Lautsprecherboxen mit Frequenzweichen, usw. Machte mich mit 25 selbständig, und stieg Mitte der 80er auf DOS und Computer ein! Lernte damit umzugehen, und schrieb sogar kleine Progs., die ich heute noch zum Teil benutze.Brachte mir auch das KnowHow zu Windows95 bei,und beschäftigte mich auch damit sehr intensiv. Das ich zu Linux kam, hatte den Grund,dass ich ein zuverlässiges Sys für meinen Server wollte, und keine Lust hatte, Microsoft noch weiter zu unterstützen.Deshalb hab ich mich schon vor nen 1/2 Jahr ins Linux eingelesen, erst im März dieses Jahres meinen selbst gebauten Rechner mit diesem OS aufgesetzt, und dann herumexperementiert. Danach wollte ich den ADSL Zugang konf., und mich ans Forum gewandt. Eins kann ich aus Erfahrung jetzt schon sagen: Leicht wirds einem nicht gemacht, vielleicht ist es auch gut so, aber das waren den auch meine Beweggründe, warum ich die Anleitung gepostet habe. Mir ist schon klar, das man als Newbie ziemlich nerven kann, aber dass man sich schneller unbeliebt macht( mit 1x Blödsinn posten), als dass man in die Community aufgnommen wird, als interessierter Linuxer, war mir bis datto unbekannt. Ich hab gedacht, bischen Humor kann nicht schaden, ist aber manchen sauer aufgestossen! Nur, dass ich mich jetzt behaupten will,(bei dem, was ich schon weiss)ist eigentlich verständlich, oder? Vielleicht kommen meine Posts manchmal präpotent rüber, liegt aber daran, das mich niemand wirklich kennt. Zum Thema selbst: Stimmt, ist rudimentär, war auch beabsichtigt, deshalb auch keine Doku, ums klein zu halten! Das es keine FW auf CD ist, dafür fehlen mir noch die Kenntnisse, meine Absicht dabei war nur, den Einsteigern eine Brücke zu bauen, damit sie nicht gleich die Flinte ins Korn werfen,( DIE Materie ist nicht ohne!) weil ich es fast getan hätte! Das ich es geschafft habe, ist unbestritten ein grosser Verdienst dieses Forums, das mich einfach gefordert hat! Aber irgendwann soll mans gut sein lassen! mfg Excal

21.05.2002, 21:31	#21
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Mehr als ein neuerliches Posting vom Script kommt nicht Jetzt habe ich ein paar Fehler und Schwächen dokumentiert... ..mach ma ein wenig auf Vogel Straus Sloter

21.05.2002, 22:07	#22
Excalibur33 Elite Registriert seit: 18.11.2001 Beiträge: 1.130	@Sloter: Wolten einige wissen ,warum , deshalb das alte mit der Doku! Für ein Neues reicht die Zeit nicht, weil ich damit beschäftigt werde, meinen Blutdruck zu überwachen Ich werd schon noch ans schreiben,altes sollte dafür sein, den Rechner dicht zu machen, und damit ist er dicht von aussen, und von drin geht alles!!Probiers doch amal auf deiner Maschin aus,ping raus =ja, ping rein =nente! Ist des net fürs Erste für an Einsteiger mehr als genug? Ihr lests alle net so ganz genau, wollts aber imma genaue Begriffsdefinitionen haben! Dafür kann i nix!(fürs ungenaue Lesen!) und jetz tschübaba & Guate Nocht mfg Excal

22.05.2002, 07:28	#24
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Du weichst meinen Argumenten mit einem ping aus, das macht aber noch lange gute Firewall aus. Du hast noch immer null Schutz gegenüber Attacken aus dem Netz, usw.. Ein zweites mal schreibe ich nicht alles auf, einmal sollte reichen. Dein Blutdruck ist sicher nicht zu hoch, schätze eher auf eine ischemie der Gefäße. Sloter

22.05.2002, 07:32	#25
Excalibur33 Elite Registriert seit: 18.11.2001 Beiträge: 1.130	Morgen!! @Meine Göttin:Ich hab mich scho gewundert, dasst net schreibst:Spät aber doch Zum Thema:Klarerweise kann man das Script ausbauen:Wenn man erreichen will, das die Box auf nen Ping von aussen reagiert, fügt man am Beginn des Listings ein: iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j ACCEPT Sollen die Replies limitiert werden: iptables -A INPUT -i ppp0 -p icmp-type echo-request -m limit --limit 1/sec -j ACCEPT Soll der Server öffentlich Dienste anbieten, müssen diese explicit freigeschalten werden: iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT Genauso kann man den SSH-Port schützen: iptables -A INPUT -p tcp --dport 22 -m limit --limit 1/sec -m state --state NEW -j ACCEPT Es bringt aber nur was, wenn man den (die)Dienst(e) anbietet! Man könnte genauso einen Angriff mitprotokollieren: iptables -I INPUT -p tcp --dport 23 -j LOG --log-prefix "Telnet-Zugriff:" Mit "iptables" hat man 2 mögliche Varianten des Schutzes: Vertrauen: Alles ist erlaubt, was nicht explicit verboten wird! Misstrauen: Alles ist verboten, was nicht explicit erlaubt wird. Da lag mein Ansatz: Die Default-Policies sind auf DROP!!! Da ich sonst keine Dienste anbiete, brauch ich auch nix erlauben! WAS IST DARAN FALSCH oder NICHT KORREKT? liebe Community! mfg Excal

22.05.2002, 08:34	#26
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi @all! Ich geb' auch noch meinen Senf dazu und vielleicht schaffen wir's doch noch, aus diesem banalen Hickhack heraus, die Kurve zu kratzen, um am Ende noch was produktives herauszubekommen. (was auch interessierten Newbies in Sachen IPTABLES und Netzwerksicherheit weiterhilft) @Excalibur. Vorweg mal alle Achtung! Du hast Dich in relativ kurzer Zeit sehr intensiv mit der Materie auseinander gesetzt (-setzen müssen ) und hast auch, mit großer Unterstützung durch das Forum, aber vor allem duch persönliches Engagement sehr viel weitergebracht und gelernt. Deshalb solltest Du auch jetzt besser verstehen können, was mit Links posten bzw. einem mürrischen RTFM gemeint war, das Dich anfangs so entzürnte. In dieser Thematik ist es meiner Meinung nach nicht vernünftig, einem Neuling Zeile für Zeile ein IPTABLES-Script vorzubeten, wenn es nicht verstanden wird. Und der Hintergrund (TCP/IP ICMP uvw.) ist riesengroß! Dein Script ist wirklich etwas rudimentär, aber so schlecht auch wieder nicht. Schau Dir vielleicht das noch an: http://www.swobspace.de/ext/firewall...fw-dyn2.script (bei den ssh_ports aufpassen!!) @Sloter Default Policy und Flush der Regeln => ein MUSS identd => sinnvoll Ping of Death => bringt der nicht nur WIN95 aus dem Konzept, vielleicht noch einen alten 2.0 Kernel DOS => bei einem Heimuser eher unwahrscheinlich (DDOS sowieso nicht, bzw kannst eh nix unternehmen) Abschließend vielleicht noch (möglicherweise können wir uns auf einen Kompromiss einigen): Wer IPTABLES einsetzen will, muss: * davon ausgehen, dass es sich um ein Profiwerkzeug handelt ... * wahrscheinlich einige Bücher konsumieren, um wirklich verstanden haben, wie das Internet funktioniert ... * ... to be continued (everyone's invited) Grüße Manx

22.05.2002, 10:55	#29
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Du kannst aber nicht erwarten, das wenn du dir zuerst helfen läßt und dich dann damit bedankst das du meinst, das es eine schwache Leistung war, was da geboten wurde. Das hat nichts mit einem Späßchen zu tun. @Manx Wenn du die neuen feinen Abwehrmechanismen nicht einbaust, hat das ganze nicht viel Sinn. Wie schon geschrieben hebelt jeder Hobbycracker meinen Rechner aus, und dann ist tote Hose mit Surfen. Er kommt ja auch damit daher das er nur Protokollieren möchte. Nächste Schwachstelle wird da geöffnet. Ich will nur klarstellen, das "ein" aufgesetzter Rechner noch lange keinen Profi macht, und schon gar keinen Firewallexperten..die habe ich etwas anders in Erinerung. Und eines möchte ich noch klarstellen, Exi hat den Thread und die Beleidigungen begonnen. Wenn er zu wenig Ahnung hat um sich zu verteidigen soll er lieber nachdenken was er schreibt oder es bleiben lassen und nicht die große Lippe führen was er nicht alles mit "seiner" Firewall machen kann. Ausser ausweichen und weitere Beleidigungen habe ich bis jetzt nichts gelesen. Vielleicht kommt ja einmal ein fachliches Posting, er braucht ja nur ein paar Seiten weiterlesen in seinem Buch... Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)