Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Brauch Hilfe mit IPTABLES!!!!

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
SIR_Legwood
Gast





BeitragVerfasst am: 17. März 2002 13:49   Titel: Brauch Hilfe mit IPTABLES!!!!

Hallo

Bin gerade dabei mir selbst eine Firewall zu bauen, natürlich mit iptables.
Dazu hab ich das Tutorial von www.boingworld.com (iptables tutorial 1.1.Cool
verwendet und dieses rc.firewall script.
(das kennt hoffentlich der ein o. andere sonst wird das hier ein wenig zu lang)

Hab das Script jetzt soweit umgebaut das es automatisch meine IP-Adresse der ISDN-
Karte übernimmt. usw.

Das geht auch soweit auch NAT.

In firewall bauen bin ich noch blutiger Anfänger (kenn nur das SuSEfirewall2 script)
Ich hab auch noch ein kleines Verständiß problem:

INPUT = ist doch alles was zur firewall kommt also vom Lan -> firewall & Inet -> firewall oder?
OUTPUT = alls was von firewall -> Lan & firwall -> Inet geht ?
FORWARD = weiß ich nicht genau, wird hier alles durchgeleitet vom Inet -> Client u. umgekehrt ?
vielleicht kann mir das jemand noch genauer erklären auch POSTROUTING u. PREROUTING

- wie kann ich mir die nat Regeln auflisten lassen mit iptables -n -L -v seh ich diese nicht
- ich möchte mir einen Transparenten Proxy bauen wie kann ich das am einfachsten realisieren??
(hab damit eigentlich schon ein paar erfahrungen gemacht mit der SuSEfirewall2 u. 7.3 geht
es auch soweit, da seh ich auch logs im squid) aber das ist ja was für Warmduscher
* hab in diesen Script das hier eingefügt bzw. wo genau muß das stehen

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

aber es geht einfach kein REDIRECT seh keine logs im Squid

- so wenn ich diese Zeile bei den INPUT-Part im Script auskomentiere geht gar nichts mehr
(soweit versteh ich das noch es werden alle Ports zugelassen vom Inet)

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

warum geht dann trotzdem kein Ping oder der DNS mehr, wenns weiter oben im Script eigentlich
erlaubt wird.

- wie müssen die Regeln für den Transparenten Proxy aussehen, muß da der 80'er Port offen sein
eigentlich nicht oder, es reicht doch wenn der nur der 3128 und DNS offen ist.

Was will ich erreichen:
- ich möchte die IPTABLES verstehen lernen
- ich möchte kontrollieren können
- kontrolle darüber haben welche Ports offen sind sowhol fürs LAN u. INET

Ich bin für jeden Vorschlag dankbar
Vielleicht habt ihr ein einfachers Script mit dem ich erst mal anfagen sollte, wichtig ist für
mich der Transparente Proxy.

P.S. vielleicht hätt ich erst mehr darüber lesen sollen anstatt gleich voll loszulegen momentan
hab ich einen Overflow die lezten 24std waren hart, deshalb steh ich momentan ein aufm Schlauch

mfg Legwood
 

Andreas
Gast





BeitragVerfasst am: 21. März 2002 12:21   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

Hi,

INPUT ist alles was generell reinkommt, egal ob vom internet oder LAN
OUTPUT ist alles was rausgeht, egal ob LAN oder INTERNET
FORWARD ist alles was von einer Netzwerkkarte zur anderen durchgeleitet wird ohn einen Dienst o.ä auf dem Rechner zu nutzen

Nat-Tabelle auflisten:

iptables -t nat -L
Da ich auch noch beim lernen bin kann ich Dir ein wirklich gutes Buch empfehlen.

Linux Firewalls Second Edition von Robert L. Ziegler
ISBN 0-7357-1099-6

ist aber ein englisches Buch, dafür aber (meiner Meinung nach) besser erklärt als jedes deutsche was ich in der Hand hatte

Preis ca 65 Eur bei BOL (einziger Anbieter den ich gefunden habe)

dafür ist iptables KOMPLETT erklärt
das schafft kein online-tutorial

Viel Glück
Bis..
 

Sucker
Gast





BeitragVerfasst am: 29. März 2002 16:56   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

Na du Warmduscher Noch nicht mal Wissen was Forward beduetet und dann so große Sprüche reißen.
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 29. März 2002 17:04   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

@Sucker
Seine Erklärung war richtig (vielleicht etwas eigenwillig und ipchains angehaucht, aber immerhin richtig).
Ganz im Gensatz zu deinem sinnfreien Posting (immerhin, kann man dem entnehmen, dass du gar keine Ahnung hast).
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

Sucker
Gast





BeitragVerfasst am: 29. März 2002 23:07   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

@Lutscher oder Lutz wie immer du dich nennen willst, die Suse Firewall2 kann man beliebig mit eigenen Regeln erweitern oder umbauen, dafür ist auch extra ein Bereich in dem Script vorgesehen

2.Ipchains ist vielleicht nicht mehr das allerneueste, aber es hat sich bewährt. Im Gegensatz dazu Iptables noch nicht, alle Leute die noch nen produktiven Server absichern setzen fast ausschließlich auf Kernel 2.2.19 mit ipchains.

Außerdem wenn ihr Ahnung hättet, wüsstet ihr, dass man kein Buch zu iptables benötigt, denn es gibt ne Megadoku von linuxdoc org zu Netfilter
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 30. März 2002 12:25   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

@Sucker
>Lutscher oder Lutz wie immer du dich nennen willst
Lutscher würde einem Sucker wie Dir wohl gefallen (Aber, wer lesen kann ist klar im Vorteil).

>die Suse Firewall2 kann man beliebig mit eigenen Regeln erweitern oder umbauen, dafür ist auch extra ein
>Bereich in dem Script vorgesehen
Wahnsinn, man kann ein Script erweitern. Echt toll.

>2.Ipchains ist vielleicht nicht mehr das allerneueste, aber es hat sich bewährt. Im Gegensatz dazu Iptables noch
>nicht, alle Leute die noch nen produktiven Server absichern setzen fast ausschließlich auf Kernel 2.2.19 mit ipchains.
Die aktuelle version ist 2.2.20 und enthält "anscheinend" einige wichtige Security updates. Also falls du noch Kernel 2.2.19 im Einsatz hast, geh updaten (PS: auch 2.0.34 ist nicht mehr aktuell).

Was deine Aussage zu 2.2 vs. 2.4 angeht:
Wo du die Info her hast, dass zum absichern von wichtigen Server(?) fast ausschliesslich Kernel 2.2.19 zum Einsatz kommen ist mir ein Rätsel. Da hab ich schon ganz anderes gehört.
Mir persönlich gefällt die neue Architektur wesentlich besser, als die Alte (die IMHO "krank" war).


>Außerdem wenn ihr Ahnung hättet, wüsstet ihr, dass man kein Buch zu iptables benötigt, denn es gibt ne Megadoku von
>linuxdoc org zu Netfilter
Die Docu ist nicht von linuxdoc.org, sondern vom Programmierer der Netfilter Architektur Rusty Russel. Er war übrigens auch an der ipchains Beteiligt. Sie befindet sich wie gewohnt unter http://netfilter.samba.org
Ich habe mir das Buch von Ziegler mal angeschaut, und finde es eigentlich ganz gut. Allerdings schreibt er über ipchains, und das interessiert mich rein gar nicht.

Also ich hab hier noch nichts gelesen, das dich in irgendeiner Weise als qualifiziert für irgendwas hinstellen würde. Deine Info´s sind schlecht bis falsch, und ausgerechnet DU willst über das Wissen anderer hier urteilen. Sehr interessant.

Nun, geh wieder mit 2.2.19 (2.0.34) spielen.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

egal
Gast





BeitragVerfasst am: 31. März 2002 18:45   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

Wer ein gutes Buch zum Thema Firewalls mit iptables (SuSE orientiert, aber nicht zu sehr) sucht, der kann ja mal einen Blick auf
"Das Firewall Buch" von Wolfgang Barth, erschienen in SuSE Press ISBN 3-934678-40-8 werfen.
Ein motivierter Admin wird wohl mit der Zeit gehen wollen. Das bedeutet, er wird im Laufe der Zeit sicher auf die nächsten Kernel umsteigen, Schritt für Schritt, sein ganzes Berufsleben lang. Dazu braucht er Erfahrung im Umgang mit den Neuerungen. Dazu muß er experimentieren. Gerade im Bereich der Firewalls kann man leicht zwei Systeme kombinieren. Denkt man nur an die Zonen ohne das böse Militär. Hier läßt sich die innere Brücke schon mal sanft mit der neuen Software ausstatten, oder man setzt einen weiteren Rechner in Reihe für ein zweites Logging dazu. Stück für Stück lassen sich Teilaspekte von einem Rechner auf einen anderen transplantieren. So machen das einige Admins, die ich kenne. Sanft und weich und immer mit doppeltem Boden. Und wenn dann die Berichte im Netz mit den eigenen Erfahrungen übereinstimmen, dann geht man langsam auf das neue System über. Die Kosten für einen normalen Firewallrechner liegen bei ca 1000.-Euro, das kann jede Firma verkraften, ein Fehler beim Übergang kostet oft mehr. Also, Ihr habt irgendwie beide recht, es kommt wohl einfach nur auf die Admins an. Es wird aber jeder Admin im Laufe seiner Zeit mehrmals auf ein neues System umsteigen müssen, die guten wollen das auch meist.
 

SIR_Legwood
Gast





BeitragVerfasst am: 02. Apr 2002 8:43   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

So So, Sucker du bist toll

wer hier wohl ein Warmduscher ist du vertraust auf SuSEfirewall2, na dann viel
spaß??
Die kann ja wohl jeder konfigurieren, aber weißt du auch was das Teil genau macht ?
Wie sicher es ist ?
Has du das Script schon mal mit der neuesten iptables und den kernel benutzt ich
schon ? das Ergebnis war leider nicht so toll.

Mit einem eigen Script bin ich wesentlich unabhängiger und versteh was abgeht

Außerdem ist mein Vertrauen zu SuSE ziemlich am Boden was die sich in letzter Zeit
so erlauben.
Siehe 7.1 das war die schlechteste die je hatte, 7.2 u. 7.3 sind ja etwas besser
und sogar da finde ich noch fehler die Eigentlich nicht sein dürften.

Ich hoffe das die 8.0 wider was ordentliches wird sonst werde ich auf Redhat o. Debian
umsteigen.

P.S kenn alle Versionen seit 6.0 aber das ist jetzt nicht mehr das Thema
Will nur eine schnelle kompetente Hilfe und nicht so ein blödel Kramm
wie du ihn schreibtst

mfg Legwood
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 02. Apr 2002 14:23   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

@egal
Ich wollte nicht bestreiten, dass der 2.2.x Kernel noch als FW zum Einsatz kommt (zumal ich weiss, dass er auch in großen Firmen immer noch als FW eingesetzt wird). Mir ging es eigentlich um das fast_ausnahmslos, und das ist AFAIK nicht richtig.


@SIR_Legwood
Also mit der 7.1 hatte ich kaum Schwierigkeiten (während sich hier im Forum, doch einige Probleme mit der 7.3 auftaten). Ich bin auf jeden Fall auf die 8.0 gespannt. Ich habe zwar erst gestern auf einen meiner Computer die 7.3 installiert habe, und war geschockt über die bunte Distribution.

Haben sich deine Probleme eigentlich geklärt, oder ist noch irgendwas unklar?
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

SIR_Legwood
Gast





BeitragVerfasst am: 03. Apr 2002 10:58   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

Ein Teil schon
aber der Transparente Proxy will einfach nicht

mfg Legwood
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 05. Apr 2002 12:30   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

Was kommt denn für eine Fehlermeldung?
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

pizdez



Anmeldungsdatum: 25.04.2002
Beiträge: 3

BeitragVerfasst am: 25. Apr 2002 16:06   Titel: Re: Brauch Hilfe mit IPTABLES!!!!

Leute nutzt fwbuilder (www.fwbuilder.org). Es ist gut, sauber und bringt schnell das benötigte Ergebniss. Es funktioniert auch mit iptables/ipchains/ipfilter
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy