Hallo Michael,
At 29.01.2002, Michael Pahle wrote:
> Ich bin völlig unbedarft, was firewalling, ipchains und iptables angeht.
> Mit großer Müh und Not (und eurer Hilfe), habe ich nun iptables mit
> masquerading auf meinem Woody-Server laufen.
Wenn es dir um Sicherheit geht, dann kommt vor der Kenntnis, wie das nun
mit einer bestimmten Software zu realisieren ist, das Wissen um die
Grundlagen. Also vor Allem erstmal die verwendeten Protokolle.
Hast Du dieses Wissen nicht, baust Du da einen Paketfilter, von dem Du
nichtmal weisst, ob er auch das macht, was er soll. Die Sicherheit
erhoest Du mit diesem Vorgehen nicht.
[...]
> Über den Server und DSL gehen meine Clients (von mir, Frau und Tochter) ins
> Internet. Die Clients sollen surfen, posten und downloaden können. Chatten
> (für mein Töchterlein) wäre auch nicht schlecht ;-)
Da ist zunaechst mal wichtig (sollte es dir um die Sicherheit gehen),
dass Du die Clients sorgfaeltig auswaehlst. Also moeglichst sichere
Software einsetzt und diese auch richtig konfigurierst.
> Ich möchte mich zur Konfiguration über mein Netzwerk von meinem Client aus
> über Webmin, Swat, ssh einloggen können. Zugriff von außen brauche ich nicht.
Dann reicht es eigentlich, wenn Du einkommende TCP Pakete und ohne ACK
und FIN Bit rejectest. Oder bietest Du auch UDP Dienste an?
Vor einem Paketfilter sollte die korrekte und sichere Ko0nfiguration
deiner Rechner kommen.
Wenn Du nicht willst, dass $DIENST von aussen genutzt wird, so bietet
man diesen Dienst eben nicht aussen an. Dazu braucht man keinen
Paketfilter.
> Für's Homebanking muß irgenwie der Port 3000 bei Bedarf offen sein.
TCP? UDP? Und welche Software wird da verwendet? Ist die ueberhaupt
sicher?
> Ach ja, auf dem Server gibt es auch noch NFS-Freigaben, falls das die FW
> interessiert.
Die solltest Du nicht auf deinen Borderouter packen. Sowas gehoert (wenn
ueberhaupt) ins interne Netz.
[...]
> Nun würde ich gerne eine Firewall bauen.
> (Deutsche!!) Lektüre habe ich mir auch schon besorgt:
> Linux 2.4 NAT HOWTO, Linux Networking-conzepts HOWTO, Linux 2.4 Paket
> Filtering HOWTO.
Da fehlen die Grundlagen. Besorg dir ein gutest Buch zum Thema TCP/IP
und ich empfehle noch:
Zwicky, Elizabeth D.; Cooper, Simon; Chapman, Brent
Einrichten von Internet Firewalls
Unix, Linux und Windows NT
Preis: 50.00 Euro (Ladenpreis)
2001
2. Auflage 2001. 906 Seiten
OReilly
3-89721-169-6
> (Mehrfach) durchgelesen habe ich das auch. Aber mit dem Verständnis hapert es
> gewaltig.
Unter Anderem, weil dir die Grundlagen fehlen.
> Diese Texte kann ich mit Sicherheit noch einige Male lesen und bin
> danach noch genau so schlau wie zuvor.
Eben.
[...]
> Das man zu Begin der Firewall alles erst mal dicht macht und dann nur das
> Nötigste freigibt, hab ich auch erkannt.
> Das war's aber erst mal :(
Und es ist nichtmal richtig. Jedenfalls nicht ganz.
Die Kommunikation von innen nach aussen einzuschraenken macht meist
wenig Sinn. Du kannst nicht kontrollieren, auf welchen Ports auf
irgendwelchen Rechner im Internet welche Protokolle gesprochen werden.
Somit ist es auch hinfaellig, gross die Kommunikation von innen nach
aussen zu kontrollieren. Und dann kann man noch so ziehmlich jedes
Protokoll ueber ein andere tunneln. Bringt also nichts.
Was sinnvoll ist, ist zu verhindern, dass durch einen Fehler Pakete mit
privaten Ziel- und Absenderadressen, dein Netz verlassen. Mehr macht da
aber keinen Sinn.
Es ist auch nicht der Sinn eines Paketfilters, mit Gewalt jedes einzelne
Paket zu beachten. Dadurch wird dein Regelwerk unnoetig gross. Die
Gefahr ist, dass sich dadurch schnell Fehler einschleichen und Du deine
eigenen Regeln nicht mehr verstehst.
KISS!
> Aber was nun für was genau ist und wie die vielen möglichen Optionen
> eingesetzt werden können/sollen/müssen???? - Keine Ahnung.
Eben dazu brauchst Du erstmal die Grundlagen und das Verstaendnis fuer
das, was Du eigentlich filtern willst und vor Allem, _warum_ Du das
filtern willst.
> Gut, es gibt auch einige vorgefertigte Scripts, die man seinen Bedürfnissen
> anpassen kann (wenn man kann!)
Ja, die gibt es. Sogar von SuSE. Aber das bringt dich nicht weiter. Ein
Paketfilter ist immer Massarbeit. Du musst entscheiden, was Du warum
willst oder nicht willst. Und Du musst die Regeln dazu schreiben oder
das von jemandem machen lassen, der sich damit auskennt.
> Wie soll das ein Änfänger tun, wenn er sich
> nicht auskennt?
Lesen, lernen, verstehen.
> Irgenwie habe ich da das Gefühl Informatik studieren zu müssen.
Eine Firewall zu konzipieren (und ein Paketfilter ist nur _eine_
moegliche Technik unter vielen, die zu einer Firewall gehoeren koennen)
ist auch nichts fuer Anfaenger (nein, ich bin nicht arrogang - das ist
nunmal so).
Du hast zwei Moeglichkeiten: Lerne es (also ganz besonders die
Grundlagen) oder lasse es von jemandem machen, der sich damit auskennt.
Ich gehe auch nicht hin und bastel an der Bremsanlage meines Autos rum,
nur weil ich der Meinung bin, dass muesse auch ein Amateur koennen.
Eine schlechte "Firewall" kann gefaehrlicher sein als garkeine Firewall.
Das solltest Du bedenken.
> Das liegt wahrscheinlich an mir, da überall immer wieder behauptet wird, wie
> einfach das denn sei.
Wer behauptet sowas?
> Gibt es für Änfänger, wie mich, keine einfacherer Lektüre über Firewallaufbau
> mit iptables?
Die manpage dazu und die mitgelieferte Doku ist zu einem grossen Teil
recht einfach. Das reicht dir nur deswegen nicht, weil dir die
Grundlagen fehlen, die zum Verstaendnis dieser Doku voprrausgesetzt
werden.
> Für ipchains gibt es ja vieles. Mir wurde aber immer wieder empfohlen gleich
> mit ipchains zu starten, was ich auch tat.
Ich verwende unter Linux ipchains als Paketfilter. Aber die Doku zu
ipchains und die HowTos werden dich nicht wirklich weiter bringen, denn
auch da fehlen dir die Grundlagen.
> Wo fängt man am Besten an, wenn man von iptables und Firewallaufbau 0 Ahnung
> hat?
IP.
Gruss, Guido
--
Zum Thema "SuSE ein Element von Linux" meinte Felix von Leitner:
"SuSE verscheuert eine Bastardisierung eines zusammenkopierten
Softwarehaufens, wo zufällig auch der Linux Kernel drin vorkommt."
Message-ID: <slrn96m73q.8p6.fefe@baileys.convergence.de>
Attachment:
pgpnWDIwkOCW7.pgp
Description: PGP signature