Firewall selber machen

Post Reply
Message
Author
Mario

Firewall selber machen

#1 Post by Mario »

hallo

ich habe mir einen linux gatway installiert, und es läuft eigentlich gut, nur habe ich es noch nich geschaft, eine firewall darauf zu installieren!
ich möchte alle regeln selber erstellen, da ich mir dann sicher bin, was läuft, und was nich laufen sollte. allerdings weiss ich nich wo ich diese befehle einfügen muss, damit sie bei jedem start automatisch geladen werden...!
eine möglichkeit an die ich gedacht habe wärei, die normale firewall von suse zu aktivieren, und dann einfach diese datei durch meine zu überschreiben...
allerding möchte ich lieber eine saubere installation machen....., wäre also für hilfe dankbar!

vielen dank schon mal im voraus...

mfg mario

User avatar
hjb
Pro-Linux
Posts: 3264
Joined: 15. Aug 1999 16:59
Location: Bruchsal
Contact:

Re: Firewall selber machen

#2 Post by hjb »

Hi,

durch die Firewall von SuSE habe ich auch nicht durchgeblickt. Das will vielleicht nicht viel heißen, aber...

Mein Artikel "Firewall im Selbstbau" oder so ähnlich könnte dir als Ausgangsbasis dienen. Er müßte unter den Netzwerk-Tips zu finden sein.

Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

maxell

Re: Firewall selber machen

#3 Post by maxell »

Hi,

du könntest deine Firewall-Datei in /etc/rules ablegen, danach die /etc/init.d/boot.local editieren, danach würde bei jedem Bootvorgang die Firewall-Rules wieder eingespielt!

boot.local:

if [ -x /etc/rules ]; then
echo "Firewall starting..."
/etc/./rules
fi

Slider

Re: Firewall selber machen

#4 Post by Slider »

hi

erstmal zu deiner frage

am besten du machst erst mal ein script wo deine iptables oder ipchains (wenn du die benutzt) enthalten sind.
das kopierst du dann nach /etc/inet.d (weiss jetzt nicht wo suse das hat (zu meiner zeit war es noch in /sbin/init.d))

und dann machst du von dem jeweilgen runlevel den link dort hin

also zum bsp. du willst beim starten die fw hochfahren und beim runterfahren beenden

dann sollte das folgendermaßen aussehen

runlevel 1-3 werden beim starten durchlaufen also das "S" und die nummer 99 ist einfach nur ein counter
zuerst wird nummer S1... dann S2... etc ausgeführt

in diesem bsp. wird die firewall als letztes gestartet (am besten du lässt sie lieber nach dem netzwerk starten)

dazu musst diu dir die nummer von network raussuchen und dann eine dazurechen
ln -snf /etc/init.d/firewall /etc/rc.0/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.1/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.2/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.3/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.4/S99firewall

runlevel 5u6 sind zum kunterfahren oder auch kill also das K
ln -snf /etc/init.d/firewall /etc/rc.5/K99firewall
ln -snf /etc/init.d/firewall /etc/rc.6/K99firewall

soviel zum startscript

-----------------------------------------------

jetzt zum content der frage

also du sagtest "ich möchte alle regeln selber erstellen, da ich mir dann sicher bin, was läuft, und was nich laufen sollte"

?????

mhh wenn du jetzt noch nicht mal weisst was dein rechner für ports offen hat, dann wird dir die firewall nicht mehr viel helfen.

am besten du machst deinen rechner erst mal ohne firewall dicht und dann kannst du noch durch die regeln ein

und nicht

na huch hier ist ja noch port 25 offen na dann nichts leichter als das

iptables -A INPUT -p tcp -i ethx --dport 25 -j drop
iptables -A INPUT -p tcp -o ethx --sport 25 -j drop


denn dann wirst du nicht weit kommen

am besten du saugst dir erst mal nessus und checkst deinen rechner ohne firewall

dann bekommst du ein ergebnis -> auf einer firewall sollte dann kein security hole, security warning oder security not mehr vorhanden sein.

es sei denn du erlaubst es auf deinen fw ein ping dann hast du noch die time exceed note aber die ist nicht ganz so schlimm.

aber erst rechner selbst dicht machen und dann fw aussezten. und nicht erst fw ausetzen und dann mal kucken welcher dienst noch antwortet :)


cu Slider

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Firewall selber machen

#5 Post by trinity »

@Slider
mit nessus zu prüfen ob dienste laufen, ist ein klein wenig "mit kanonen nach spatzen schiessen"
diesen overkill kann man mit einem netstat -a -n umgehen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

mario

Re: Firewall selber machen

#6 Post by mario »

danke @ all die mir geantwortet haben!

slider das ist mir schon klar, dass ich zuerst die ports schliesse, indem ich die dienste beende!!!
aber es gibt da ein paar prots, bei denen ich nich weiss, wie ich sie ausschalten kann...
113 was ist das?
515 das hat irdendwas mit drucker zu tun.. weiss aber auch nicht genau was!
6000 ist von X. aber wozu kann ich das brauchen?
7741 keihne ahnung...!

wenn mir jemand sagen kann wie ich diese prots auch noch schliessen kann, dann währe ich natürlich auch froh!
das einzige was ich von der seite des internets auf diesem rechner brauche ist eine möglichkeit darauf einzuloggen (z.b. ssh oder vnc, weiss nicht was besser ist!)
die firewall selber benötige ich nur, damit ich z.b. icmp ausschalten kann, oder alle http anfragen die von intern kommen den lokalen squid umzuleiten!
ich werde wohl mal den gedanken von fi befolgen, er ist nicht ganz so professionell wie der von Slider, aber um einiges einfacher... (und da ich mich noch nicht so gut mit linux auskenne nehme ich zuerst mal den weg des geringsten wiederstandes :))

also nochmals danke für eure postings..

mario

Matze

Re: Firewall selber machen

#7 Post by Matze »

Hi,

zu den Ports. Gib mal in der Konsole oder in einem x-term ein: "cat /etc/services |less". Jetzt werden Dir alle Ports angezeigt und Du kannst schön scrollen und was lernen *fg*
Ist durchaus interessant ;)

Matze

leviathan
Posts: 54
Joined: 29. Apr 2001 20:39
Location: Neuss

Re: Firewall selber machen

#8 Post by leviathan »

Hallöchen,

schaue Dir mal das Tool "FW-Builder" von http://fwbuilder.sourceforge.net an.

Da kannst Du Deine Regeln recht komfortabler erstellen und anschließend ein Startskript daraus generieren.
Da sind auch kleine Hilfen und Erklärungen zu Diensten und Port dabei

Post Reply