High, high ... * Martin Steigerwald <Martin@lichtvoll.de> schrieb am [29.06.10 09:55]: > Am Dienstag 29 Juni 2010 schrieb Michael Schuerig: > > On Monday 28 June 2010, Martin Steigerwald wrote: > > > > [schnipp] > > > > > IPTables ist hingegen keine Firewall, sondern die Implementation > > > eines IP- Filters. Eine sogenannte Personal Firewall macht hingegen > > > nix anderes, als Ports zu sperren, die ohnehin nicht offen wären, > > > wenn da keine Dienste lauschen. Und Ports von Diensten, die > > > erreichbar sein soll, kann eine Personal Firewall ebenfalls nicht > > > absichern. Alles im allen stimme ich damit überein. Ich benutze zwar nicht auf meinem Schlepptop eine Firewall aber doch auf den Servern und auch hinter der DSL-Firewall (wer weiß schon was der Provider einschleust/updatet). > > > [...] > > Hi Martin, > > Hi Michael, > > > Apache lauscht nach draussen. Bei MySQL, PostgreSQL, CUPS, ntpd, inetd, > > sshd weiss ich es nicht. Ich will mich vor allem nicht detailliert > > darum kümmern müssen. Nicht, weil ich in der Hinsicht kognitiv > > beschränkt wäre, sondern weil ich meinen Sysadmin-Aufwand klein halten > > Nee, das meine ich auch nicht. Da war mein "sich das zutrauen" etwas > mißverständlich. Ich meinte da durchaus auch mit, sich damit nicht > befassen wollen. Ein bischen Grundwissen ist immer (!) Voraussetzung. Das ist kein Scherz, denk mal dran wenn wirklich was passiert und du alles analysieren musst. > > Und klar, wer sich nicht selbst drauf achten will, dass bei Paket- > Installationen und -Aktualisierungen die Ports dicht bleiben oder eben > schnell mal einen Dienst togglen möchte, für den macht so eine Personal > Firewall durchaus Sinn. Ich finde dann eben nur wichtig, auch zu verstehen, > was man da hat. hat/macht ;-) > > will. Ist nicht mein Job, ich bin Anwender und Progammierer. Vor 10 > > ...] > > Ein einfaches Skript, das nur Antworten auf bekannte Verbindungen und ein > paar ausgewählte Ports zuläßt, braucht via iptables auch keine 20 Zeilen. > Okay, vielleicht 20-50 Zeilen mit *umfangreichen* Kommentaren. > > Und das Protokollier-Problem hast Du dann auch nicht, bzw. kannst es > einstellen. Manchmal möchte man aber schon mal schauen dürfen;-). > > Das folgende Ding tuts schon, mit einer Zeile pro Port, den Du > freischalten willst, bzw. sogar einer Zeile für mehrere Ports mit -m > multiport. > > martin@shambhala:/usr/local/bin> cat personal-firewall > #!/bin/sh > > [...] > > # IP-Pakete nicht weiterleiten > echo 0 > /proc/sys/net/ipv4/ip_forward Was ist mit /etc/sysctl.conf. oder dem Verz. /etc/sysctl.d ; vergessen gegangen im Laufe der Zeit? Dort stellt man solche Sachen statisch ein. Natürlich sollte eine Firewall flexibler sein. > [...] > > Was läßt sich hier für ein einfaches Personal Firewall Setup noch > abstrahieren? > > Nun, entscheide selbst, ob Du weiter Zeit aufwendest, um das ideale > iptables-Frontend für Deinen Zweck zu finden oder einfach ein Skript in der > obigen Art einsetzt ;). Je nach Anspruch halt ne? Paranoiker, Vernünftiger, Bildleser - ok das war gemein. > Wenn Du ein Frontend für genau diesen Zweck findest oder es schaffst, bei > firehol ohne größere Probleme das Logging auszuschalten, wär ich evtl. > interessiert. Wobei, das obige Skript tuts für mich auch, wenn ich das > wirklich mal brauchen sollte. ---------------------------cut--------------------------------- OK, passt nicht hierher, aber seit dem 29.06.2010 sind die kwtools-0.8.0¹ fertig und für die Debian-Installation bereit. Das Paket kwtools-net-narc besitzt ein dialog-basiertes Frontend für iptables (kwnarcconf) mit init-Script (kwnarc), etc.. Dort kannst du explizit einstellen was geloggt werden soll. Wenn du möchtest schicke ich dir die Hilfe-Datei zu (Log-Optionen). Dann brauchste nicht erst die kwtools ausprobieren und kannst selbst entscheiden, ob es Deinen Log-Ansprüchen oder wie auch immer liegt. [1] http://www.netzworkk.de mfg Kiste, der Müde und nur den halben Therad im Kopp hat. -- ####################################################################### Netzworkk grml - Linux Live CD fuer Sysadmins Kai Wilke http://grml.org kiste@netzworkk.de http://www.netzworkk.de http://netzworkk.berlios.de
Attachment:
signature.asc
Description: Digital signature