Am 02.10.2013 08:50, schrieb Johannes C. Schulz: > Hallo und guten Morgen Hallo, ja war ein bissl spät ;-) > > @Rico: Ich möchte den Server (der hinter einem DSL steckt) nach außen > absichern. Problematisch dabei für mich ist, daß es notwendig ist, daß > er nach außen kommunizieren kann: http, https, tomcat, rdp, vnc, ssh und > intern kommunizieren muß: nfs, smb, firebirdsql, mongodb, sybase-DB. Also ... wenn dein Server hinter einer Fritzbox steckt und du nur ein paar wenige Ports durch die Fritzbox schleifst ... brauch man meiner Meinung nach den Server, insofern man der Fritzbox vertraut, eigentlich nicht noch zurammeln. Das sich jemand dort durchhangelt ist bestimmt schwieriger als über einen Browser oder via Email in dein Netz zu kommen. Wenn man einen Windoof rechner infiziert hat sind die Sambakennwörter ja auch gleich da - und der Zugang zum Server nicht mehr so schwierig. Da kannst du auch nix mit der Firewall ausrichten. Die Dienste die nach Außen sichtbar sein sollen solltest du mit ssl/ssh absichern und sichere Passwörter/Zertifikate nutzen + evtl. so ein Verbindungslimit von 5-10 Connects pro Minute machen - das Brute force nicht lohnt. > > Ich bin kein Linux-Admin, deswegen stolpere ich bestimmt ein wenig > unwissend durch den Salat. Aber ich habe bis jetzt schon alles irgendwie > kaputt bekommen ;-) . Ich hab mir das auch nur durch probieren angeeignet. Bin auch nur gelegenheitsadmin. > > Shorewall ist für mich quasi noch unübersichtlicher wie der fwbuilder. > Ich würde deswegen gerne nah an der Kommandozeile und den conf-Files > bleiben. Da sehe ich irgendwie besser durch. Naja ... bei shorewall sucht man sich sein Grundgerüst ... z.b. bridge oder masquerading etc.... dann paßt man die Zonen (zones) an , dann die interfaces, und legt einige Grundregeln (policy) fest ... z.b. alles weiterleiten/erlauben/alles verbieten und dann fügt man die Ausnahmen (rules) hinzu aktivieren ... geht. Für den routestopp fall kann man noch ein all to all reinmachen und fertig. > Gruß, Rico > Ich melde mich, wenn ich wieder stecken bleibe... > > > Am 1. Oktober 2013 23:08 schrieb Rico Pietzsch <rico.pietzsch@freenet.de > <mailto:rico.pietzsch@freenet.de>>: > > Am 01.10.2013 15:10, schrieb Johannes C. Schulz: > > Hallo Debian-Freunde > > > > Ich konfiguriere mich nun erstmal durch iptables durch. Ehe ich nun > > alles komplett kaputtmache, wollte ich erstmal ein paar Wissende > fragen, > > ob die iptables-Konfig so ok geht. Voran möchte ich anmerken, daß ich > > nfs auf die Ports 32765, 23766, 32767 und 32769 fest konfiguriert > habe. > > > > Der Server hat zwei Netzwerkkarten. Dieses iptables soll nur eth0 > > konfigurieren. eth1 ist als bridge0 konfiguriert. An bridge0 > hängen die > > ganzen VMs. Wie ich gelesen habe, muß ja das dann per ebtables > > "abgesichert" werden. > > > > und nun der iptables-kram für eth0: > > > > > > > > > > Würde mich sehr über Unterstützung und Tipps freuen! > > -- > > Viele Grüße > > Johannes C. Schulz > > > Hallo Johannes, > > geht es bei dir darum ein paar Ports korrekt umzusetzen oder um das > ganze System von der Außenwelt abzuschotten? > Für ersteres ist per Hand bestimmt ausreichend, aber vielleicht kannst > du dir ja eines der Firewall Skript Tools wie ipmasq (veraltet) oder > Shorewall mal anschauen. > Shorewall speziell bietet für alle möglichen ´Konfigurationen schöne > Beispiele an. > > Ansonsten würde die Benutzung von multiport evtl. das ganze > Konfigurationsskript etwas übersichtlicher machen. > > Ansonsten für die "Usability" > man kann schön die "HitListe" der Regeln anschauen .... > erstmal iptables -Z den Counter auf 0 > und dann sowas wie > "watch -n 2 iptables -L FORWARD -n -v -x " > z.b. zum Beobachten der Regel "FORWARD" ... und dann kann man schön > testen und sieht wo die Pakete verschwinden > > viel Erfolg, > Rico > > > > > -- > Viele Grüße > Johannes C. Schulz > > „*/Programmer - n. [proh-gram-er] an organism that turns caffeine and > pizza into software“/* >
Attachment:
signature.asc
Description: OpenPGP digital signature