Hallo Michael, At 29.01.2002, Michael Pahle wrote: > Ich bin völlig unbedarft, was firewalling, ipchains und iptables angeht. > Mit großer Müh und Not (und eurer Hilfe), habe ich nun iptables mit > masquerading auf meinem Woody-Server laufen. Wenn es dir um Sicherheit geht, dann kommt vor der Kenntnis, wie das nun mit einer bestimmten Software zu realisieren ist, das Wissen um die Grundlagen. Also vor Allem erstmal die verwendeten Protokolle. Hast Du dieses Wissen nicht, baust Du da einen Paketfilter, von dem Du nichtmal weisst, ob er auch das macht, was er soll. Die Sicherheit erhoest Du mit diesem Vorgehen nicht. [...] > Über den Server und DSL gehen meine Clients (von mir, Frau und Tochter) ins > Internet. Die Clients sollen surfen, posten und downloaden können. Chatten > (für mein Töchterlein) wäre auch nicht schlecht ;-) Da ist zunaechst mal wichtig (sollte es dir um die Sicherheit gehen), dass Du die Clients sorgfaeltig auswaehlst. Also moeglichst sichere Software einsetzt und diese auch richtig konfigurierst. > Ich möchte mich zur Konfiguration über mein Netzwerk von meinem Client aus > über Webmin, Swat, ssh einloggen können. Zugriff von außen brauche ich nicht. Dann reicht es eigentlich, wenn Du einkommende TCP Pakete und ohne ACK und FIN Bit rejectest. Oder bietest Du auch UDP Dienste an? Vor einem Paketfilter sollte die korrekte und sichere Ko0nfiguration deiner Rechner kommen. Wenn Du nicht willst, dass $DIENST von aussen genutzt wird, so bietet man diesen Dienst eben nicht aussen an. Dazu braucht man keinen Paketfilter. > Für's Homebanking muß irgenwie der Port 3000 bei Bedarf offen sein. TCP? UDP? Und welche Software wird da verwendet? Ist die ueberhaupt sicher? > Ach ja, auf dem Server gibt es auch noch NFS-Freigaben, falls das die FW > interessiert. Die solltest Du nicht auf deinen Borderouter packen. Sowas gehoert (wenn ueberhaupt) ins interne Netz. [...] > Nun würde ich gerne eine Firewall bauen. > (Deutsche!!) Lektüre habe ich mir auch schon besorgt: > Linux 2.4 NAT HOWTO, Linux Networking-conzepts HOWTO, Linux 2.4 Paket > Filtering HOWTO. Da fehlen die Grundlagen. Besorg dir ein gutest Buch zum Thema TCP/IP und ich empfehle noch: Zwicky, Elizabeth D.; Cooper, Simon; Chapman, Brent Einrichten von Internet Firewalls Unix, Linux und Windows NT Preis: 50.00 Euro (Ladenpreis) 2001 2. Auflage 2001. 906 Seiten OReilly 3-89721-169-6 > (Mehrfach) durchgelesen habe ich das auch. Aber mit dem Verständnis hapert es > gewaltig. Unter Anderem, weil dir die Grundlagen fehlen. > Diese Texte kann ich mit Sicherheit noch einige Male lesen und bin > danach noch genau so schlau wie zuvor. Eben. [...] > Das man zu Begin der Firewall alles erst mal dicht macht und dann nur das > Nötigste freigibt, hab ich auch erkannt. > Das war's aber erst mal :( Und es ist nichtmal richtig. Jedenfalls nicht ganz. Die Kommunikation von innen nach aussen einzuschraenken macht meist wenig Sinn. Du kannst nicht kontrollieren, auf welchen Ports auf irgendwelchen Rechner im Internet welche Protokolle gesprochen werden. Somit ist es auch hinfaellig, gross die Kommunikation von innen nach aussen zu kontrollieren. Und dann kann man noch so ziehmlich jedes Protokoll ueber ein andere tunneln. Bringt also nichts. Was sinnvoll ist, ist zu verhindern, dass durch einen Fehler Pakete mit privaten Ziel- und Absenderadressen, dein Netz verlassen. Mehr macht da aber keinen Sinn. Es ist auch nicht der Sinn eines Paketfilters, mit Gewalt jedes einzelne Paket zu beachten. Dadurch wird dein Regelwerk unnoetig gross. Die Gefahr ist, dass sich dadurch schnell Fehler einschleichen und Du deine eigenen Regeln nicht mehr verstehst. KISS! > Aber was nun für was genau ist und wie die vielen möglichen Optionen > eingesetzt werden können/sollen/müssen???? - Keine Ahnung. Eben dazu brauchst Du erstmal die Grundlagen und das Verstaendnis fuer das, was Du eigentlich filtern willst und vor Allem, _warum_ Du das filtern willst. > Gut, es gibt auch einige vorgefertigte Scripts, die man seinen Bedürfnissen > anpassen kann (wenn man kann!) Ja, die gibt es. Sogar von SuSE. Aber das bringt dich nicht weiter. Ein Paketfilter ist immer Massarbeit. Du musst entscheiden, was Du warum willst oder nicht willst. Und Du musst die Regeln dazu schreiben oder das von jemandem machen lassen, der sich damit auskennt. > Wie soll das ein Änfänger tun, wenn er sich > nicht auskennt? Lesen, lernen, verstehen. > Irgenwie habe ich da das Gefühl Informatik studieren zu müssen. Eine Firewall zu konzipieren (und ein Paketfilter ist nur _eine_ moegliche Technik unter vielen, die zu einer Firewall gehoeren koennen) ist auch nichts fuer Anfaenger (nein, ich bin nicht arrogang - das ist nunmal so). Du hast zwei Moeglichkeiten: Lerne es (also ganz besonders die Grundlagen) oder lasse es von jemandem machen, der sich damit auskennt. Ich gehe auch nicht hin und bastel an der Bremsanlage meines Autos rum, nur weil ich der Meinung bin, dass muesse auch ein Amateur koennen. Eine schlechte "Firewall" kann gefaehrlicher sein als garkeine Firewall. Das solltest Du bedenken. > Das liegt wahrscheinlich an mir, da überall immer wieder behauptet wird, wie > einfach das denn sei. Wer behauptet sowas? > Gibt es für Änfänger, wie mich, keine einfacherer Lektüre über Firewallaufbau > mit iptables? Die manpage dazu und die mitgelieferte Doku ist zu einem grossen Teil recht einfach. Das reicht dir nur deswegen nicht, weil dir die Grundlagen fehlen, die zum Verstaendnis dieser Doku voprrausgesetzt werden. > Für ipchains gibt es ja vieles. Mir wurde aber immer wieder empfohlen gleich > mit ipchains zu starten, was ich auch tat. Ich verwende unter Linux ipchains als Paketfilter. Aber die Doku zu ipchains und die HowTos werden dich nicht wirklich weiter bringen, denn auch da fehlen dir die Grundlagen. > Wo fängt man am Besten an, wenn man von iptables und Firewallaufbau 0 Ahnung > hat? IP. Gruss, Guido -- Zum Thema "SuSE ein Element von Linux" meinte Felix von Leitner: "SuSE verscheuert eine Bastardisierung eines zusammenkopierten Softwarehaufens, wo zufällig auch der Linux Kernel drin vorkommt." Message-ID: <slrn96m73q.8p6.fefe@baileys.convergence.de>
Attachment:
pgpnWDIwkOCW7.pgp
Description: PGP signature