Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
firewall & webserver

 
Dieses Forum ist gesperrt, Sie können keine Beiträge editieren, schreiben oder beantworten.   Dieses Thema ist gesperrt, Sie können keine Beiträge editieren oder beantworten.    Pro-Linux Foren-Übersicht -> Linux-Forum (alt)
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
rajko bock
Gast





BeitragVerfasst am: 25. Aug 2000 9:55   Titel: firewall & webserver

hey leute,

auf meinem suse6.4-server habe ich das firewall-script von pro-linux laufen.
verhindert diese script, das ich von aussen auf meinen server (http,ftp,telnet bzw. ssh)zugreifen kann ?
wenn ja, was muss ich ändern ?
wenn nicht, wo könnte dann der fehler liegen ?
auf einen ping, sowie ein traceroute reagiert er.

vielen dank
rajko bock
 

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 25. Aug 2000 12:01   Titel: Re: firewall & webserver

Was für ein Firewall-Script? Poste das mal hier und wir schauen uns das gerne an.

> auf einen ping, sowie ein traceroute reagiert er.
Schon Mist. Sollte man blocken...
_________________
bye.olli
--
"Where's Oswald when we need him.."


Zuletzt bearbeitet von odauter am 25. Aug 2000 12:01, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

rajko bock
Gast





BeitragVerfasst am: 25. Aug 2000 12:10   Titel: Re: firewall & webserver

________________________________________________

#!/bin/sh
# Starting up the firewall
echo
echo Stand by while starting up the firewall...
echo
# Starting IP forwarding
echo Starting IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# IP Forward muß vorher aktiviert werden.
# Unter SuSE sollte der Befehl in der rc.config aktiviert werden.
# Bei Masquerading muß zusätzlich noch IP_DYNIP in der
# rc.config aktiviert sein.
echo Start RP filter for anti spoofing shield
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Anti Spoofing Schutz wird aktiviert.

# Deleting all chains
echo Deleting all existing chains...
ipchains -F
# Alle existierenden Regeln werden gelöscht

# Default policy
echo Setting up default policy...
ipchains -P input DENY
ipchains -P forward DENY
ipchains -P output DENY
# Die Default Policy wird auf DENY gesetzt
# Somit haben Sie jetzt eine ultimative Firewall

# Variables
echo Setting up all defined variables...
DEV_LNET=eth0
IP_LNET=192.168.100.5
DEV_INET=ippp0
LNET=192.168.100.0/24
GLOBAL=0.0.0.0/0
# Alle nötigen Variabeln werden jetzt definiert

# Loopback
echo Setting up loopback interface...
ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT
# Zugriff auf den Loopback Device

# Intranet connections
echo Setting up intranet connections...
ipchains -A input -i eth0 -s $LNET -j ACCEPT
ipchains -A output -i eth0 -d $LNET -j ACCEPT
# Das maskierte Netz hat Zugriff auf das Netzwerk Device ETH0

# Internet connections
echo Setting up internet syn connections...
ipchains -A input -s $LNET 1024: -p tcp -i $DEV_LNET -j ACCEPT
# Alles was aus dem LAN über dem Port 1023 auf ETH0 ankommt
# und TCP verwendet wird akzeptiert und an die forward chain übergeben
ipchains -A forward -s $LNET 1024: -p tcp -i $DEV_INET -j MASQ
# Alles was aus dem LAN über dem Port 1023 und TCP verwendet
# wird maskiert, an das IPPP0 weitergeleitet (geroutet)
# und somit an die output chain übergeben
ipchains -A output -s $GLOBAL 1024: -p tcp -i $DEV_INET -j ACCEPT
# Alles was von überall ($GLOBAL) über das IPPP0 Device nach
# draußen möchte und TCP verwendet wird akzeptiert.
# Jetzt folgt nochmal genau das selbe nur mit dem UDP Protokoll.
# Dieses ist zum Beispiel notwendig für Nameserveranfragen.
ipchains -A input -s $LNET 1024: -p udp -i $DEV_LNET -j ACCEPT
ipchains -A forward -s $LNET 1024: -p udp -i $DEV_INET -j MASQ
ipchains -A output -s $GLOBAL 1024: -p udp -i $DEV_INET -j ACCEPT

# Internet answers
echo Setting up internet ack connections...
ipchains -A input --sport 20 -d $GLOBAL 1024: -p tcp -i $DEV_INET -j ACCEPT
ipchains -A output --sport 20 -d $LNET 1024: -p tcp -i $DEV_LNET -j ACCEPT
# Diese beiden Regeln sind dafür zuständig, daß aktives FTP funktioniert.
# Ich erlaube also einen Zugriff auf einen privilegierten Port (Gerät IPPP0).
# Allerdings kann niemand auf den Port eine Verbindung aufbauen da
# er dafür den Kontrollport 21 braucht, der allerdings von außen gesperrt ist.
ipchains -A input -d $GLOBAL 1024: -p tcp -i $DEV_INET -j ACCEPT ! -y
# Alles was über dem Port 1023 mit dem Protokoll TCP auf dem IPPP0 Device
# ankommt wird akzeptiert, wenn keine Verbindung zu ihm aufgebaut wurde.
ipchains -A output -d $LNET 1024: -p tcp -i $DEV_LNET -j ACCEPT ! -y
# Alles über dem Port 1023 mit dem Protokoll TCP und dem LAN als
# Ziel wird akzeptiert, wenn keine Verbindung zu ihm aufgebaut wurde.
ipchains -A input -d $GLOBAL 1024: -p udp -i $DEV_INET -j ACCEPT
ipchains -A output -d $LNET 1024: -p udp -i $DEV_LNET -j ACCEPT

# icmp-acc
echo Setting up icmp defined restrictions...
ipchains -N icmp-acc
# Benutzerdefinierte Chain wird erstellt.
ipchains -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type echo-request -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
# ICMP Pakete (echo-reply, echo-request , destination-unreachable, source-quench
# time-exceeded, parameter-problem) werden akzeptiert.

# icmp
echo Setting up icmp major restrictions...
ipchains -A input -p icmp -j icmp-acc
# Alle eingehenden Pakete werden an die benutzerdefinierte Regel icmp-acc weitergeleitet.
ipchains -A forward -p icmp -j MASQ
# Alle Pakete die zwischen den Netzwerk Devices geroutet und maskiert.
ipchains -A output -p icmp -j icmp-acc
# Alle ausgehende Pakete werden an die benutzerdefinierte Regel icmp-acc weitergeleitet.

# Masquerading
echo Loading modules for masquerading...
# Module für Masquerading werden geladen
insmod /lib/modules/2.2.10/ipv4/ip_masq_ftp.o
insmod /lib/modules/2.2.10/ipv4/ip_masq_irc.o
insmod /lib/modules/2.2.10/ipv4/ip_masq_quake.o
insmod /lib/modules/2.2.10/ipv4/ip_masq_raudio.o
insmod /lib/modules/2.2.10/ipv4/ip_masq_vdolive.o
insmod /lib/modules/2.2.10/ipv4/ip_masq_cuseeme.o
echo
echo Firewall active
echo
________________________________________________


meine kernelversion ist 2.2.17
 

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 25. Aug 2000 13:00   Titel: Re: firewall & webserver

> verhindert diese script, das ich von aussen auf meinen server (http,ftp,telnet bzw. ssh)zugreifen kann ?
Ja. Die hier verwendeten Regeln erlauben Zugriffe von außen nach innen nur, wenn kein SYN.Bit mitkommt - dh. wenn das Packet keine Antwort einer Anfrage von Innen ist, sondern die Session von Außen nach Innen aufgebaut werden soll.

> wenn ja, was muss ich ändern ?

Damit sollte zB. der HTTP-Zugriff von außen gehen:

ipchains -A input -i $DEV_INET -s $GLOBAL 1023: -d $GLOBAL 80 -p tcp -j ACCEPT
ipchains -A output -i $DEV_INET -s $GLOBAL 80 -d $GLOBAL 1023: -p tcp -j ACCEPT ! -y

> auf einen ping, sowie ein traceroute reagiert er.

Das wäre das einzige, wo ich mir nochmal Gedanken drüber machen würde. Ich würde das nicht wollen. Hier kannst Du das ändern, indem Du vor dem jeweiligem ICMP-Typen ACCEPT durch DENY ersetzt:

> ipchains -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT
> ipchains -A icmp-acc -p icmp --icmp-type echo-request -j ACCEPT
> ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
> ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
> ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
> ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
> # ICMP Pakete (echo-reply, echo-request , destination-unreachable, source-quench
> # time-exceeded, parameter-problem) werden akzeptiert.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

rajko bock
Gast





BeitragVerfasst am: 25. Aug 2000 13:57   Titel: Re: firewall & webserver

vielen dank erstmal
werde gleich am wochenende testen ob es funzt.


rajko bock
 

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 25. Aug 2000 14:45   Titel: Re: firewall & webserver

zu beachten ist noch das die Rules für http vor der Rule mit dem SYN Bit setzt.
Da die Reihenfolge wichtig.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Linux-Forum (alt) Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy