wie geht das denn nun, wenn ich erst alle privilegierten Ports zumache, und dann wieder einzelne Ports aufmachen will?
versucht habe ich folgendes, mit ipchains-save die Rules gedumpt:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
ipchains -F
ipchains -X
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 0:1022 -i eth0 -p 6 -j DENY
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 110:110 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 25:25 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 80:80 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 20:20 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 21:21 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 135:139 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 901:901 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 111:111 -i eth0 -p 6 -j ACCEPT
ipchains -A input -s 192.168.111.0/255.255.255.0 -d 192.168.111.1/255.255.255.255 22:22 -i eth0 -p 6 -j ACCEPT
</font><hr></pre></blockquote>
wie man sieht, moechte ich das Netz 192.168.111.0/255.255.255.0 zumachen, aber einzelne Ports (ftp, ssh, usw.) wieder aufmachen, doch funzt das nicht, von 192.168.111.2 komme ich z.B nicht mehr per ssh auf 192.168.111.1.
Tips?
danke
ipchains, deny all, dann aufmachen
Re: ipchains, deny all, dann aufmachen
kannst du mir mal verklickern, warum du dein internes netz zumachst? normalerweise macht man die schnittstelle nach aussen zu. und weiterhin müssen die anworten der dienste auch zugelassen werden.
-
nano
Re: ipchains, deny all, dann aufmachen
Hi
Das Einloggen via ssh funktioniert nicht, weil der ssh-Server nichts an den Client schicken darf.
Dir fehlt dazu noch eine Zeile wie:
/sbin/ipchains --append output --source 192.168.111.1 --destination 192.168.111.0/255.255.255.0 --protocol tcp --destination-port 22 --jump ACCEPT
Aber wie Thomas schon sagte, so schützt Du Deinen Server lediglich vor Deinen eigenen Clients! Angriffen über das Internet ist Dein Rechner weiterhin hilflos ausgeleifert.
Ich würde an Deiner Stelle erstmal wirklich ALLES verbieten. z.B. mit
#existierende Regeln löschen
/sbin/ipchains --flush input
/sbin/ipchains --flush output
#Zunächst wird mal alles gesperrt
/sbin/ipchains --policy input DENY
/sbin/ipchains --policy output DENY
Viel Erfolg!
nano
P.S. @Thomas
Sag mal, wie schaffe ich es eigentlich einen Link in ein Posting einzubauen? Ich hab das bei Deinen Postings schon manchmal gesehen.
Viele Grüße,
nano
Das Einloggen via ssh funktioniert nicht, weil der ssh-Server nichts an den Client schicken darf.
Dir fehlt dazu noch eine Zeile wie:
/sbin/ipchains --append output --source 192.168.111.1 --destination 192.168.111.0/255.255.255.0 --protocol tcp --destination-port 22 --jump ACCEPT
Aber wie Thomas schon sagte, so schützt Du Deinen Server lediglich vor Deinen eigenen Clients! Angriffen über das Internet ist Dein Rechner weiterhin hilflos ausgeleifert.
Ich würde an Deiner Stelle erstmal wirklich ALLES verbieten. z.B. mit
#existierende Regeln löschen
/sbin/ipchains --flush input
/sbin/ipchains --flush output
#Zunächst wird mal alles gesperrt
/sbin/ipchains --policy input DENY
/sbin/ipchains --policy output DENY
Viel Erfolg!
nano
P.S. @Thomas
Sag mal, wie schaffe ich es eigentlich einen Link in ein Posting einzubauen? Ich hab das bei Deinen Postings schon manchmal gesehen.
Viele Grüße,
nano
Re: ipchains, deny all, dann aufmachen
@dummuser
Es gilt: Die Erste zutreffende Regel gewinnt.
Ich empfehle dir: Nimm das Script, welches dir deine Distribution mitliefert. Deine Regeln sind total für den...
Falls es dich interessiert, wie man regeln aufbauen könnte (wohl gemerkt könnte), schau dir mal in dieser Rubrik Firewalls und andere... an. Dort steht wie man regeln mit ipchains erstellen kann. Das ist zwar nicht bis auf das letzte ausgetüftelt, Diente aber auch nicht zur Erstellung des ultimativen Scriptes.
@Thomas Mitzkat
Es ist durchaus sinnig, den Verkehr des internen Netzes auf erlaubte Dinge zu reduzieren (man kann damit zum Beispiel trojaner verseuchte Rechenr o. ä. identifizieren). Ob bei Privatpersonen solch ein Aufwand angebraacht ist lass ich jetzt mal dahingestellt <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
@nano
>Das Einloggen via ssh funktioniert nicht, weil der ssh-Server nichts an den Client schicken darf.
Der SSH-Server, darf schon schicken, er weiss nur nicht, dass man ihm gerade eine Frage gestellt hat <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
>/sbin/ipchains --append output --source 192.168.111.1 --destination 192.168.111.0/255.255.255.0 --protocol tcp --destination-port 22 --jump ACCEPT
Diese regeln bringt nichts, da du sie nur anhängst, aber First Rule ...
zudem hast du Source und destination Port verwechselt.
>Ich würde an Deiner Stelle erstmal wirklich ALLES verbieten. z.B. mit
Genau. Aufgrund fehlender Firewall Kenntnisse ist es aber nicht unbedingt Ratsam, dass er seine Firewall selbst entwirft. Deswegen meinte ich (normalerweise bin ich ja für selbermachen), er solle lieber das mitgelieferte Script der Distribution verwenden und sich danach Schritt für Schritt daran heranwagen.
Bin zwar nicht Thomas, aber wenn du oben auf Hilfe klickst, bekommst du eine Kurzübersicht der erlaubten Befehle im Forum.
Es gilt: Die Erste zutreffende Regel gewinnt.
Ich empfehle dir: Nimm das Script, welches dir deine Distribution mitliefert. Deine Regeln sind total für den...
Falls es dich interessiert, wie man regeln aufbauen könnte (wohl gemerkt könnte), schau dir mal in dieser Rubrik Firewalls und andere... an. Dort steht wie man regeln mit ipchains erstellen kann. Das ist zwar nicht bis auf das letzte ausgetüftelt, Diente aber auch nicht zur Erstellung des ultimativen Scriptes.
@Thomas Mitzkat
Es ist durchaus sinnig, den Verkehr des internen Netzes auf erlaubte Dinge zu reduzieren (man kann damit zum Beispiel trojaner verseuchte Rechenr o. ä. identifizieren). Ob bei Privatpersonen solch ein Aufwand angebraacht ist lass ich jetzt mal dahingestellt <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
@nano
>Das Einloggen via ssh funktioniert nicht, weil der ssh-Server nichts an den Client schicken darf.
Der SSH-Server, darf schon schicken, er weiss nur nicht, dass man ihm gerade eine Frage gestellt hat <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
>/sbin/ipchains --append output --source 192.168.111.1 --destination 192.168.111.0/255.255.255.0 --protocol tcp --destination-port 22 --jump ACCEPT
Diese regeln bringt nichts, da du sie nur anhängst, aber First Rule ...
zudem hast du Source und destination Port verwechselt.
>Ich würde an Deiner Stelle erstmal wirklich ALLES verbieten. z.B. mit
Genau. Aufgrund fehlender Firewall Kenntnisse ist es aber nicht unbedingt Ratsam, dass er seine Firewall selbst entwirft. Deswegen meinte ich (normalerweise bin ich ja für selbermachen), er solle lieber das mitgelieferte Script der Distribution verwenden und sich danach Schritt für Schritt daran heranwagen.
Bin zwar nicht Thomas, aber wenn du oben auf Hilfe klickst, bekommst du eine Kurzübersicht der erlaubten Befehle im Forum.
Last edited by trinity on 28. Jan 2002 17:07, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
nano
Re: ipchains, deny all, dann aufmachen
@Lutz
ups, hast vollkommen Recht! <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> <schäm und in die Ecke stell>
Danke übrigens für den Tip mit der Hilfe. Ich hab's ganz blauäugig mit <font color="2020B0">HTML-Tags</font><!--color--> probiert - hat aber nicht funktioniert.
Viele Grüße,
nano
ups, hast vollkommen Recht! <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> <schäm und in die Ecke stell>
Danke übrigens für den Tip mit der Hilfe. Ich hab's ganz blauäugig mit <font color="2020B0">HTML-Tags</font><!--color--> probiert - hat aber nicht funktioniert.
Viele Grüße,
nano
Re: ipchains, deny all, dann aufmachen
@Lutz:
>Bin zwar nicht Thomas, aber wenn du oben auf Hilfe klickst, bekommst du eine Kurzübersicht der erlaubten Befehle im Forum.
LOL - Was hat das denn mit mir zu tun? Hab ich was verpasst?
@nano:
>Ich hab's ganz blauäugig mit HTML-Tags probiert - hat aber nicht funktioniert.
Na, jetzt funktionierts doch.
>Bin zwar nicht Thomas, aber wenn du oben auf Hilfe klickst, bekommst du eine Kurzübersicht der erlaubten Befehle im Forum.
LOL - Was hat das denn mit mir zu tun? Hab ich was verpasst?
@nano:
>Ich hab's ganz blauäugig mit HTML-Tags probiert - hat aber nicht funktioniert.
Na, jetzt funktionierts doch.
Last edited by gewitter on 30. Jan 2002 8:44, edited 1 time in total.
Re: ipchains, deny all, dann aufmachen
@Thomas Mitzkat
>Hab ich was verpasst?
Sieht fast so aus <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
1. hat nano im PS noch eine Frage an dich gestellt (wie man einen Link eingibt)
2. hast du meine Antwort zu IMAP gesehen (hab nur ca. 1h zum Antworten gebraucht, nicht damit du mich wieder so hetzt)? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
>Hab ich was verpasst?
Sieht fast so aus <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
1. hat nano im PS noch eine Frage an dich gestellt (wie man einen Link eingibt)
2. hast du meine Antwort zu IMAP gesehen (hab nur ca. 1h zum Antworten gebraucht, nicht damit du mich wieder so hetzt)? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: ipchains, deny all, dann aufmachen
<font color="0000FF">@Lutz:</font><!--color-->
>>Hab ich was verpasst?
>Sieht fast so aus..
Hahaha..., ich hab das in einem ganz anderen Zusammenhang gesehen.
>hast du meine Antwort zu IMAP gesehen (hab nur ca. 1h zum Antworten gebraucht, nicht damit du mich wieder so hetzt)?
Du bist Spitze, hab den Artikel interessiert gelesen und werde da auch was für mich umsetzen, aber das mit weiteren Fragen in dem anderen Thread.
>>Hab ich was verpasst?
>Sieht fast so aus..
Hahaha..., ich hab das in einem ganz anderen Zusammenhang gesehen.
>hast du meine Antwort zu IMAP gesehen (hab nur ca. 1h zum Antworten gebraucht, nicht damit du mich wieder so hetzt)?
Du bist Spitze, hab den Artikel interessiert gelesen und werde da auch was für mich umsetzen, aber das mit weiteren Fragen in dem anderen Thread.