hallo
ich habe mir einen linux gatway installiert, und es läuft eigentlich gut, nur habe ich es noch nich geschaft, eine firewall darauf zu installieren!
ich möchte alle regeln selber erstellen, da ich mir dann sicher bin, was läuft, und was nich laufen sollte. allerdings weiss ich nich wo ich diese befehle einfügen muss, damit sie bei jedem start automatisch geladen werden...!
eine möglichkeit an die ich gedacht habe wärei, die normale firewall von suse zu aktivieren, und dann einfach diese datei durch meine zu überschreiben...
allerding möchte ich lieber eine saubere installation machen....., wäre also für hilfe dankbar!
vielen dank schon mal im voraus...
mfg mario
Firewall selber machen
Re: Firewall selber machen
Hi,
durch die Firewall von SuSE habe ich auch nicht durchgeblickt. Das will vielleicht nicht viel heißen, aber...
Mein Artikel "Firewall im Selbstbau" oder so ähnlich könnte dir als Ausgangsbasis dienen. Er müßte unter den Netzwerk-Tips zu finden sein.
Gruß,
hjb
durch die Firewall von SuSE habe ich auch nicht durchgeblickt. Das will vielleicht nicht viel heißen, aber...
Mein Artikel "Firewall im Selbstbau" oder so ähnlich könnte dir als Ausgangsbasis dienen. Er müßte unter den Netzwerk-Tips zu finden sein.
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
Re: Firewall selber machen
Hi,
du könntest deine Firewall-Datei in /etc/rules ablegen, danach die /etc/init.d/boot.local editieren, danach würde bei jedem Bootvorgang die Firewall-Rules wieder eingespielt!
boot.local:
if [ -x /etc/rules ]; then
echo "Firewall starting..."
/etc/./rules
fi
du könntest deine Firewall-Datei in /etc/rules ablegen, danach die /etc/init.d/boot.local editieren, danach würde bei jedem Bootvorgang die Firewall-Rules wieder eingespielt!
boot.local:
if [ -x /etc/rules ]; then
echo "Firewall starting..."
/etc/./rules
fi
Re: Firewall selber machen
hi
erstmal zu deiner frage
am besten du machst erst mal ein script wo deine iptables oder ipchains (wenn du die benutzt) enthalten sind.
das kopierst du dann nach /etc/inet.d (weiss jetzt nicht wo suse das hat (zu meiner zeit war es noch in /sbin/init.d))
und dann machst du von dem jeweilgen runlevel den link dort hin
also zum bsp. du willst beim starten die fw hochfahren und beim runterfahren beenden
dann sollte das folgendermaßen aussehen
runlevel 1-3 werden beim starten durchlaufen also das "S" und die nummer 99 ist einfach nur ein counter
zuerst wird nummer S1... dann S2... etc ausgeführt
in diesem bsp. wird die firewall als letztes gestartet (am besten du lässt sie lieber nach dem netzwerk starten)
dazu musst diu dir die nummer von network raussuchen und dann eine dazurechen
ln -snf /etc/init.d/firewall /etc/rc.0/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.1/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.2/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.3/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.4/S99firewall
runlevel 5u6 sind zum kunterfahren oder auch kill also das K
ln -snf /etc/init.d/firewall /etc/rc.5/K99firewall
ln -snf /etc/init.d/firewall /etc/rc.6/K99firewall
soviel zum startscript
-----------------------------------------------
jetzt zum content der frage
also du sagtest "ich möchte alle regeln selber erstellen, da ich mir dann sicher bin, was läuft, und was nich laufen sollte"
?????
mhh wenn du jetzt noch nicht mal weisst was dein rechner für ports offen hat, dann wird dir die firewall nicht mehr viel helfen.
am besten du machst deinen rechner erst mal ohne firewall dicht und dann kannst du noch durch die regeln ein
und nicht
na huch hier ist ja noch port 25 offen na dann nichts leichter als das
iptables -A INPUT -p tcp -i ethx --dport 25 -j drop
iptables -A INPUT -p tcp -o ethx --sport 25 -j drop
denn dann wirst du nicht weit kommen
am besten du saugst dir erst mal nessus und checkst deinen rechner ohne firewall
dann bekommst du ein ergebnis -> auf einer firewall sollte dann kein security hole, security warning oder security not mehr vorhanden sein.
es sei denn du erlaubst es auf deinen fw ein ping dann hast du noch die time exceed note aber die ist nicht ganz so schlimm.
aber erst rechner selbst dicht machen und dann fw aussezten. und nicht erst fw ausetzen und dann mal kucken welcher dienst noch antwortet
cu Slider
erstmal zu deiner frage
am besten du machst erst mal ein script wo deine iptables oder ipchains (wenn du die benutzt) enthalten sind.
das kopierst du dann nach /etc/inet.d (weiss jetzt nicht wo suse das hat (zu meiner zeit war es noch in /sbin/init.d))
und dann machst du von dem jeweilgen runlevel den link dort hin
also zum bsp. du willst beim starten die fw hochfahren und beim runterfahren beenden
dann sollte das folgendermaßen aussehen
runlevel 1-3 werden beim starten durchlaufen also das "S" und die nummer 99 ist einfach nur ein counter
zuerst wird nummer S1... dann S2... etc ausgeführt
in diesem bsp. wird die firewall als letztes gestartet (am besten du lässt sie lieber nach dem netzwerk starten)
dazu musst diu dir die nummer von network raussuchen und dann eine dazurechen
ln -snf /etc/init.d/firewall /etc/rc.0/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.1/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.2/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.3/S99firewall
ln -snf /etc/init.d/firewall /etc/rc.4/S99firewall
runlevel 5u6 sind zum kunterfahren oder auch kill also das K
ln -snf /etc/init.d/firewall /etc/rc.5/K99firewall
ln -snf /etc/init.d/firewall /etc/rc.6/K99firewall
soviel zum startscript
-----------------------------------------------
jetzt zum content der frage
also du sagtest "ich möchte alle regeln selber erstellen, da ich mir dann sicher bin, was läuft, und was nich laufen sollte"
?????
mhh wenn du jetzt noch nicht mal weisst was dein rechner für ports offen hat, dann wird dir die firewall nicht mehr viel helfen.
am besten du machst deinen rechner erst mal ohne firewall dicht und dann kannst du noch durch die regeln ein
und nicht
na huch hier ist ja noch port 25 offen na dann nichts leichter als das
iptables -A INPUT -p tcp -i ethx --dport 25 -j drop
iptables -A INPUT -p tcp -o ethx --sport 25 -j drop
denn dann wirst du nicht weit kommen
am besten du saugst dir erst mal nessus und checkst deinen rechner ohne firewall
dann bekommst du ein ergebnis -> auf einer firewall sollte dann kein security hole, security warning oder security not mehr vorhanden sein.
es sei denn du erlaubst es auf deinen fw ein ping dann hast du noch die time exceed note aber die ist nicht ganz so schlimm.
aber erst rechner selbst dicht machen und dann fw aussezten. und nicht erst fw ausetzen und dann mal kucken welcher dienst noch antwortet
cu Slider
Re: Firewall selber machen
@Slider
mit nessus zu prüfen ob dienste laufen, ist ein klein wenig "mit kanonen nach spatzen schiessen"
diesen overkill kann man mit einem netstat -a -n umgehen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
mit nessus zu prüfen ob dienste laufen, ist ein klein wenig "mit kanonen nach spatzen schiessen"
diesen overkill kann man mit einem netstat -a -n umgehen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: Firewall selber machen
danke @ all die mir geantwortet haben!
slider das ist mir schon klar, dass ich zuerst die ports schliesse, indem ich die dienste beende!!!
aber es gibt da ein paar prots, bei denen ich nich weiss, wie ich sie ausschalten kann...
113 was ist das?
515 das hat irdendwas mit drucker zu tun.. weiss aber auch nicht genau was!
6000 ist von X. aber wozu kann ich das brauchen?
7741 keihne ahnung...!
wenn mir jemand sagen kann wie ich diese prots auch noch schliessen kann, dann währe ich natürlich auch froh!
das einzige was ich von der seite des internets auf diesem rechner brauche ist eine möglichkeit darauf einzuloggen (z.b. ssh oder vnc, weiss nicht was besser ist!)
die firewall selber benötige ich nur, damit ich z.b. icmp ausschalten kann, oder alle http anfragen die von intern kommen den lokalen squid umzuleiten!
ich werde wohl mal den gedanken von fi befolgen, er ist nicht ganz so professionell wie der von Slider, aber um einiges einfacher... (und da ich mich noch nicht so gut mit linux auskenne nehme ich zuerst mal den weg des geringsten wiederstandes )
also nochmals danke für eure postings..
mario
slider das ist mir schon klar, dass ich zuerst die ports schliesse, indem ich die dienste beende!!!
aber es gibt da ein paar prots, bei denen ich nich weiss, wie ich sie ausschalten kann...
113 was ist das?
515 das hat irdendwas mit drucker zu tun.. weiss aber auch nicht genau was!
6000 ist von X. aber wozu kann ich das brauchen?
7741 keihne ahnung...!
wenn mir jemand sagen kann wie ich diese prots auch noch schliessen kann, dann währe ich natürlich auch froh!
das einzige was ich von der seite des internets auf diesem rechner brauche ist eine möglichkeit darauf einzuloggen (z.b. ssh oder vnc, weiss nicht was besser ist!)
die firewall selber benötige ich nur, damit ich z.b. icmp ausschalten kann, oder alle http anfragen die von intern kommen den lokalen squid umzuleiten!
ich werde wohl mal den gedanken von fi befolgen, er ist nicht ganz so professionell wie der von Slider, aber um einiges einfacher... (und da ich mich noch nicht so gut mit linux auskenne nehme ich zuerst mal den weg des geringsten wiederstandes )
also nochmals danke für eure postings..
mario
Re: Firewall selber machen
Hi,
zu den Ports. Gib mal in der Konsole oder in einem x-term ein: "cat /etc/services |less". Jetzt werden Dir alle Ports angezeigt und Du kannst schön scrollen und was lernen *fg*
Ist durchaus interessant
Matze
zu den Ports. Gib mal in der Konsole oder in einem x-term ein: "cat /etc/services |less". Jetzt werden Dir alle Ports angezeigt und Du kannst schön scrollen und was lernen *fg*
Ist durchaus interessant
Matze
Re: Firewall selber machen
Hallöchen,
schaue Dir mal das Tool "FW-Builder" von http://fwbuilder.sourceforge.net an.
Da kannst Du Deine Regeln recht komfortabler erstellen und anschließend ein Startskript daraus generieren.
Da sind auch kleine Hilfen und Erklärungen zu Diensten und Port dabei
schaue Dir mal das Tool "FW-Builder" von http://fwbuilder.sourceforge.net an.
Da kannst Du Deine Regeln recht komfortabler erstellen und anschließend ein Startskript daraus generieren.
Da sind auch kleine Hilfen und Erklärungen zu Diensten und Port dabei