Re: [Debian]:Firewall
On Thu, 13 Jul 2000, Holger Leskien wrote:
> Hallo,
>
> mir war bewusst, daß unser Einwahl-Server gescannt wird, wenn wir im
> Internet sind. Doch jetzt wollte ich es genau wissen und habe tcplogd und
> icmplogd installiert. Mir war nicht bewusst, daß es so häufig passiert...
Hi
ab potato wird ippl als logger empfohlen
>
> Das ist endlich ein Grund bei uns eine Firewall zu installieren, was ich
> schon seit längerem vorhatte. Nunja, leider komme ich nicht sehr weit, was
> vor allem mit logischen Problemen zu tun hat.
>
> Was ich will:
>
> - alle Zugriffe von innen nach aussen erlauben
> - alle Zugriffe von aussen nach innen verbieten, nur ssh bleibt offen
> - zusätzliche Sicherheitsmaßnahmen, z.B. Anti-Spoofing-Regeln
>
> Ach ja, unser Einwahlserver hängt natürlich an unserem internen Netz und
> unterstützt Masquerading.
ippp0 = externes interface
eth0 = internes interface des localnet
so ne?
>
> Das habe ich (einige Regeln sind zur Zeit auskommentiert, da sie nicht
> funktionieren)
>
> LOCALNET="192.168.1.0/24"
>
> # Flush
> ipchains -F input
> ipchains -F output
> ipchains -F forward
>
> # Default-Policy
> #ipchains -P input DENY
ipchains -P output DENY
>
> # Alle Pakete von innen erlauben
> #ipchains -A input -i eth0 -s $LOCALNET -j ACCEPT
ist ok
>
> # Pakete an sich selber erlauben
> #ipchains -A input -i lo -j ACCEPT
jo
> # gespoofte Adressen loggen und ablehnen
> #ipchains -A input -i ippp0 -s $LOCALNET -l -j DENY
auch ok
> # nur Antwort-Pakete von aussen zulassen (SYN-Bit gesetzt)
> #ipchains -A input -p TCP -s $LOCALNET -y
wenn das syn Bit gesetzt ist, wird versucht eine Verbindung aufzubauen
ein '!' invertiert die bedeutung
#nur angeforderten Traffic erlauben
ipchains -A input -i ippp0 -p tcp -d $your_public_IP ! -y -j ACCEPT
> # ssh oeffnen (fehlt noch)
ipchains -A input -i ippp0 -d $your_public_IP ssh -j ACCEPT
#Verbindungsversuche loggen
ipchains -A input -i ippp0 -p tcp -d $your_public_IP -y -j DENY -l
>
> # Enable simple IP forwarding and Masquerading
> ipchains -P forward REJECT
> ipchains -A forward -s $LOCALNET -j MASQ
fehlt die andere Richtung wenn etwas reinkommt von draussen
ipchains -A forward -s $LOCALNET -i ippp0 -j MASQ
ipchains -A forward -d $LOCALNET -i eth0 -j MASQ
forwarding etwas genauer:
###########
#internal-internal traffic
ipchains -A forward -s $LOCALNET -d $LOCALNET -i eth0 -j ACCEPT
#external-external traffic
ipchains -A forward -s $EXTERNAL_NET -i ippp0 -j ACCEPT
#masquerade rest
ipchains -A forward -s $LOCALNET -i ippp0 -j MASQ
#das liest man: forwarde traffic des internen Netzes zum interface ippp0
#und die andere Richtung:
ipchains -A forward -d $LOCALNET -i eth0 -j MASQ
###########
> # alle restlichen Pakete mitloggen
> ipchains -A input -l
>
>
> Anscheinend geht es nicht, weil ich auch alle Pakete von innen auf das
> Interface ippp0 erlauben muss. Doch dann ist ja die Spoofing-Regel
> hinfällig, oder?
das war damals auch mein Denkfehler :))
durch das masquerading wird eine neue IP fuer das packet vergeben, die des
externen Interfaces
so musst du nur noch den output nach innen und aussen erlauben
###
#output alles rein- und rauslassen
ipchains -A output -d $LOCALNET -i eth0 -j ACCEPT
ipchains -A output -i ippp0 -j ACCEPT
####
> ipchains -A input -i ippp0 -s $LOCALNET -j ACCEPT
wech mit der regel
>
> oder für beide gleichzeitig
>
> ipchains -A input -s $LOCALNET -j ACCEPT
>
> Wer kann mir weiterhelfen?
ich hoffe es hilft
oder versuch das mal:
http://www2.little-idiot.de/firewall/zusammen.html
Gruss Matthias
>
> Gruß
>
> Holger
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 734
Reply to: