Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
ipchains, deny all, dann aufmachen

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
dummuser
Gast





BeitragVerfasst am: 28. Jan 2002 0:40   Titel: ipchains, deny all, dann aufmachen

wie geht das denn nun, wenn ich erst alle privilegierten Ports zumache, und dann wieder einzelne Ports aufmachen will?

versucht habe ich folgendes, mit ipchains-save die Rules gedumpt:

code:

ipchains -F
ipchains -X
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 0:1022 -i eth0 -p 6 -j DENY
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 110:110 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 25:25 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 80:80 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 20:20 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 21:21 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 135:139 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 901:901 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 111:111 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 22:22 -i eth0 -p 6 -j ACCEPT



wie man sieht, moechte ich das Netz 192.168.111.0/255.255.255.0 zumachen, aber einzelne Ports (ftp, ssh, usw.) wieder aufmachen, doch funzt das nicht, von 192.168.111.2 komme ich z.B nicht mehr per ssh auf 192.168.111.1.

Tips?

danke
 

gewitter



Anmeldungsdatum: 09.04.2001
Beiträge: 1354

BeitragVerfasst am: 28. Jan 2002 8:56   Titel: Re: ipchains, deny all, dann aufmachen

kannst du mir mal verklickern, warum du dein internes netz zumachst? normalerweise macht man die schnittstelle nach aussen zu. und weiterhin müssen die anworten der dienste auch zugelassen werden.
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

nano
Gast





BeitragVerfasst am: 28. Jan 2002 13:26   Titel: Re: ipchains, deny all, dann aufmachen

Hi

Das Einloggen via ssh funktioniert nicht, weil der ssh-Server nichts an den Client schicken darf.
Dir fehlt dazu noch eine Zeile wie:

/sbin/ipchains --append output --source 192.168.111.1 --destination 192.168.111.0/255.255.255.0 --protocol tcp --destination-port 22 --jump ACCEPT

Aber wie Thomas schon sagte, so schützt Du Deinen Server lediglich vor Deinen eigenen Clients! Angriffen über das Internet ist Dein Rechner weiterhin hilflos ausgeleifert.

Ich würde an Deiner Stelle erstmal wirklich ALLES verbieten. z.B. mit

#existierende Regeln löschen
/sbin/ipchains --flush input
/sbin/ipchains --flush output

#Zunächst wird mal alles gesperrt
/sbin/ipchains --policy input DENY
/sbin/ipchains --policy output DENY

Viel Erfolg!
nano

P.S. @Thomas
Sag mal, wie schaffe ich es eigentlich einen Link in ein Posting einzubauen? Ich hab das bei Deinen Postings schon manchmal gesehen.
Viele Grüße,
nano
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 28. Jan 2002 17:07   Titel: Re: ipchains, deny all, dann aufmachen

@dummuser
Es gilt: Die Erste zutreffende Regel gewinnt.
Ich empfehle dir: Nimm das Script, welches dir deine Distribution mitliefert. Deine Regeln sind total für den...
Falls es dich interessiert, wie man regeln aufbauen könnte (wohl gemerkt könnte), schau dir mal in dieser Rubrik Firewalls und andere... an. Dort steht wie man regeln mit ipchains erstellen kann. Das ist zwar nicht bis auf das letzte ausgetüftelt, Diente aber auch nicht zur Erstellung des ultimativen Scriptes.

@Thomas Mitzkat
Es ist durchaus sinnig, den Verkehr des internen Netzes auf erlaubte Dinge zu reduzieren (man kann damit zum Beispiel trojaner verseuchte Rechenr o. ä. identifizieren). Ob bei Privatpersonen solch ein Aufwand angebraacht ist lass ich jetzt mal dahingestellt

@nano
>Das Einloggen via ssh funktioniert nicht, weil der ssh-Server nichts an den Client schicken darf.
Der SSH-Server, darf schon schicken, er weiss nur nicht, dass man ihm gerade eine Frage gestellt hat

>/sbin/ipchains --append output --source 192.168.111.1 --destination 192.168.111.0/255.255.255.0 --protocol tcp --destination-port 22 --jump ACCEPT
Diese regeln bringt nichts, da du sie nur anhängst, aber First Rule ...
zudem hast du Source und destination Port verwechselt.

>Ich würde an Deiner Stelle erstmal wirklich ALLES verbieten. z.B. mit
Genau. Aufgrund fehlender Firewall Kenntnisse ist es aber nicht unbedingt Ratsam, dass er seine Firewall selbst entwirft. Deswegen meinte ich (normalerweise bin ich ja für selbermachen), er solle lieber das mitgelieferte Script der Distribution verwenden und sich danach Schritt für Schritt daran heranwagen.

Bin zwar nicht Thomas, aber wenn du oben auf Hilfe klickst, bekommst du eine Kurzübersicht der erlaubten Befehle im Forum.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)


Zuletzt bearbeitet von trinity am 28. Jan 2002 17:07, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

nano
Gast





BeitragVerfasst am: 29. Jan 2002 15:13   Titel: Re: ipchains, deny all, dann aufmachen

@Lutz
ups, hast vollkommen Recht! <schäm und in die Ecke stell>

Danke übrigens für den Tip mit der Hilfe. Ich hab's ganz blauäugig mit HTML-Tags probiert - hat aber nicht funktioniert.

Viele Grüße,
nano
 

gewitter



Anmeldungsdatum: 09.04.2001
Beiträge: 1354

BeitragVerfasst am: 30. Jan 2002 8:44   Titel: Re: ipchains, deny all, dann aufmachen

@Lutz:
>Bin zwar nicht Thomas, aber wenn du oben auf Hilfe klickst, bekommst du eine Kurzübersicht der erlaubten Befehle im Forum.
LOL - Was hat das denn mit mir zu tun? Hab ich was verpasst?

@nano:
>Ich hab's ganz blauäugig mit HTML-Tags probiert - hat aber nicht funktioniert.
Na, jetzt funktionierts doch.


Zuletzt bearbeitet von gewitter am 30. Jan 2002 8:44, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 30. Jan 2002 9:56   Titel: Re: ipchains, deny all, dann aufmachen

@Thomas Mitzkat
>Hab ich was verpasst?
Sieht fast so aus
1. hat nano im PS noch eine Frage an dich gestellt (wie man einen Link eingibt)
2. hast du meine Antwort zu IMAP gesehen (hab nur ca. 1h zum Antworten gebraucht, nicht damit du mich wieder so hetzt)?
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

gewitter



Anmeldungsdatum: 09.04.2001
Beiträge: 1354

BeitragVerfasst am: 30. Jan 2002 20:54   Titel: Re: ipchains, deny all, dann aufmachen

@Lutz:

>>Hab ich was verpasst?
>Sieht fast so aus..
Hahaha..., ich hab das in einem ganz anderen Zusammenhang gesehen.

>hast du meine Antwort zu IMAP gesehen (hab nur ca. 1h zum Antworten gebraucht, nicht damit du mich wieder so hetzt)?
Du bist Spitze, hab den Artikel interessiert gelesen und werde da auch was für mich umsetzen, aber das mit weiteren Fragen in dem anderen Thread.
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy