Re: Iptable-Firewall fürAnfänger
Am Mittwoch, 30. Januar 2002 20:49 schrieb Guido Hennecke:
> Hallo Michael,
>
> At 30.01.2002, Michael Pahle wrote:
> FYI: Solltest Du noch eine aeltere 10 MBit/s Netzwerkkarte haben, die
> reicht fuer den Anschluss am DSL Modem. Mehr geht da eh nicht.
Ist mir bekannt. Ich habe mir aber den aktuellen Server als
Weihnachtsgeschenk 'gegönnt' und da ist zwecks Datenaustausch mit den Clients
alles topmodern (man gönnt sich ja sonst nix...)
Den alten Server mit debbi 2.2 drauf möchte mein Kumpel für sein Geschäft
haben. Den gebe ich ihm aber erst, wenn ich Datensicherheit garantieren kann.
> Waere es fuer dich eine Option, deinen PC als Server fuer Druckerdienste
> etc. zu benutzen anstatt den DSL Router? Das waere schon von Vorteil.
Option ja, aber ich hätte es gern lieber so wie es ist. Der Server ist öfter
und länger an, als meine Workstation (PC)
> Gut und das ganze an einem HUB?
Ja, wie sonst?
> Eine Bitte: Kannst Du in Zukunft solche Ausgaben in der englishen
> Version erzeugen?
Öhm... Ich bin froh, daß ich die Konsole endlich auf deutsch laufen hab.
Wenn die englische Ausgaben temporär zu erzeugen sind, sag mir bitte, wie ich
das mache und ich tu's.
> Was fuer eine Liste!
Da hab ich (noch) nix dran gedreht :)
Das ist original woody.
> Zunaechst schau dir bitte mal
> die /etc/inetd.conf an. Steht nda irgendwas drin, was Du brauchst? Wenn
> nicht, setze an den Anfang jeder Zeile ein "#" Und starte den inetd neu.
Da ist bis auf die unten aufgeführten Zeilen überall # davor.
ob ich das brauche oder nicht, weiß ich nicht.
Aus dem holen Bauch heraus würde ich mal sagen, daß ich ftp und telnet nicht
brauche, da ich über ssh, samba und nfs arbeiten kann, oder?
Vieleicht noch finger. Aber dann ... keine Ahnung.
swat brauche ich in jedem Fall zu Sambakonfiguration.
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
time stream tcp nowait root internal
telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd
/usr/sbin/in.telnetd
ftp stream tcp nowait root /usr/sbin/tcpd
/usr/sbin/wu-ftpd -l
talk dgram udp wait nobody.tty /usr/sbin/in.talkd
in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd
in.ntalkd
finger stream tcp nowait nobody /usr/sbin/tcpd
/usr/sbin/in.fingerd
ident stream tcp wait identd /usr/sbin/identd identd
netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd
netbios-ns dgram udp wait root /usr/sbin/tcpd
/usr/sbin/nmbd -a
swat stream tcp nowait.400 root /usr/sbin/tcpd
/usr/sbin/swat
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
time stream tcp nowait root internal
telnet stream tcp nowait telnetd.telnetd /usr/sbin/tcpd
/usr/sbin/in.telnetd
ftp stream tcp nowait root /usr/sbin/tcpd
/usr/sbin/wu-ftpd -l
talk dgram udp wait nobody.tty /usr/sbin/in.talkd
in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/in.ntalkd
in.ntalkd
finger stream tcp nowait nobody /usr/sbin/tcpd
/usr/sbin/in.fingerd
ident stream tcp wait identd /usr/sbin/identd identd
netbios-ssn stream tcp nowait root /usr/sbin/tcpd /usr/sbin/smbd
netbios-ns dgram udp wait root /usr/sbin/tcpd
/usr/sbin/nmbd -a
swat stream tcp nowait.400 root /usr/sbin/tcpd
/usr/sbin/swat
> Dann folgende Fragen:
>
> Du bietest ssh fuer alle an. Soll das auch aus dem Internet moeglich
> sein? Nein?
Nein, eigentlich nicht. Es war praktisch, als gelegentlich ein debianer aus
unserer LUG mir das Laufen mit Debian beibrachte. Aber eigentlich soll nur
von meinem Schleppi oder meinem PC aus ssh benutzt werden.
Dann bitte folgende Konfiguration in /etc/ssh/sshd_config
> vornehmen:
> ListenAddress <interne ip adresse>
So? ListenAddress 192.168.6.0
> Danach /etc/init.d/ssh restart
Ist geschehen.
> Willst Du einen FTP Server anbieten?
Nein, ich wollte nur anfangs daten verschieben, die ich nun mit Samba oder
nfs verschieben kann.
Es war ftp 0.17-9 und wu-ftp 2.6.1-6installiert, jetzt nimmer.
dpk-ftp brauche ich wohl noch für dselect, oder?
> Du bietest einen Mailserver an. Brauchst Du den? wenn ja, soll der auch
> aus dem Internet Mails annehmen? Wenn nein, welcher Mailserver laeuft
> da?
Ich möchte mit sendmail und fetchmail einen Mailserver aufbauen, der die
Mails für die Clients holt und versendet. Da bin ich aber noch nicht so weit.
> Du bietest einen HTTP Server an. Wie Du schon geschrieben hast, fuer
> Webmin. Wenn Webmin nur aus dem internen Netz funktionieren soll, dann
> konfiguriere folgendes in /etc/apache/http.conf:
Ist erledigt.
Listen 192.168.6.0:80
> Du hast einige RPC Dienste laufen.
> Ist dieser Server ein NFS Server?
Ja.
> Wenn ja, ist es das Beste, diesen Dienst auf einen internen Rechner zu
> verlagern. Das solltest Du nicht auf einem Borderrouter laufen lassen.
Du hast ja recht, aber ich habe den Server gerade so aufgebaut(große Platte),
daß er mir als Archiv zur Ablage von nicht so oft benötigten Daten dient, bei
denen es sich nicht rentiert, sie auf CD oder sonstwie auszulagern.
Sicherheitsrelevante Daten habe ich gundsätzlich nicht auf meinen Rechnern.
> Du bietest einen Telnetserver an.
Ich? Das war bestimmt woody ;-) Wenn ich das war, dann nicht mit Absicht.
> Hast Du das alles gemacht, bitte nochmal die Ausgabe von "netstat -ln"
debbi:/home/michael# netstat -ln
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:9 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:79 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 192.168.6.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:947 0.0.0.0:* LISTEN
tcp 0 0 192.168.6.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:2049 0.0.0.0:*
udp 0 0 0.0.0.0:517 0.0.0.0:*
udp 0 0 0.0.0.0:518 0.0.0.0:*
udp 0 0 192.168.6.11:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 0.0.0.0:9 0.0.0.0:*
udp 0 0 192.168.6.11:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 127.0.0.1:32780 0.0.0.0:*
udp 0 0 0.0.0.0:783 0.0.0.0:*
udp 0 0 0.0.0.0:10000 0.0.0.0:*
udp 0 0 0.0.0.0:944 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
Aktive Sockets in der UNIX Domäne (Nur Server)
Proto RefZäh Flaggen Typ Zustand I-Node Pfad
unix 2 [ ACC ] STREAM HÖRT 469 /dev/gpmctl
unix 2 [ ACC ] STREAM HÖRT 547
/var/run/sendmail/mta/smcontrol
> hier posten und bei Ports bei denen Du nicht weisst, welches Programm
> dort horcht, kannst Du das mit "lsof -Pi | grep <portnummer>"
> herrausfinden. Bitte Poste ruhig die Ergebnisse.
So?
lsof -Pi | grep 32768
rpc.statd 183 root 4u IPv4 316 UDP *:32768
rpc.statd 183 root 5u IPv4 319 TCP *:32768 (LISTEN)
> Du scheinst aber auch so ziemlich jedes Paket installiert zu haben. Ist
> es nicht so?
Eigentlich nicht. Zumindest nicht bewußt.
> Normalerweise geht man so vor, dass man nur das installiert, was man
> unbedingt braucht und nicht einfach mal so irgendwas.
Ich dachte, das so gemacht zu haben.
PS.: Ich melde mich morgen wieder, da um 22.00 Uhr mein Server runterfährt
und ich ins Bett fahre. Ich hatte 'n sch... Tag. Ist ned immer so einfach 17
Leuten in den A... zu treten ;-)
--
Michael Pahle
Website: http://www.lug-ketsch.de
Reply to: