PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall Kernel etch



Deerhunter
03.08.2006, 14:53
Hallo Leute,
mir mangelt etwas an Grundwissen über Firewalls unter Linux, ich hab etch. Meine Frage, kann ich darunter iptables mit KDE installieren? Und welche Pakete muß ich mir da ziehen?

Vielen Dank und Grüße!:)

Keruskerfürst
03.08.2006, 16:12
1. Iptables: http://www.iptables.org/

theton
03.08.2006, 16:50
http://www.tldp.org/HOWTO/Firewall-HOWTO.html

Deerhunter
03.08.2006, 18:34
Hallo,
vielen Dank für eure Antworten! Eine Firewall ist wichtig, bei XP schraub ich die in weniger als 5 Min. auf die Platte. Bei Linux soll ich das Rad neu erfinden und noch meine Englischkenntnisse auffrischen! Bei allem Respekt gegenüber den Entwicklern, aber Linux ist dadurch für mich keine Alternative zu XP geworden!

theton
03.08.2006, 18:39
Zwingt dich ja keiner Linux zu nutzen. Viel Spass mit XP. Bei Linux ist eine Firewall uebrigens unnoetig, wenn du dafuer sorgst, dass nach aussen hin kein Service erreichbar ist. Wo nichts ist, kann auch nichts angegriffen werden.

supersucker
03.08.2006, 18:40
Eine Firewall ist wichtig

Nö.

Nur unter Windows.


bei XP schraub ich die in weniger als 5 Min. auf die Platte.

Was hast du denn erwartet? Das unter Linux alles so wie unter Windows geht?

Deerhunter
03.08.2006, 19:04
Natürlich gehe ich nicht davon aus das es so einfach geht wie bei Win! Und eine Firewall hatte ich von woody bis heute nicht und ist auch nichts passiert! Nun brauche ich aber eine, weil ich langfristig kein XP mehr haben möchte und damit auch meine PRIVATEN Dateien auf dem Debian-Rechner liegen werden (Onlinebanking usw.). Allerdings hält mich das Installieren/Konfigurieren einer verdammten Firewall schon seit Montagabend auf. Die HOWTO's basieren auf Kernel die ich nicht habe, netfilter findet mein apt-get setup erst garnicht oder search zeigt mir eine erschlagende Liste an usw. usf..

Keruskerfürst
03.08.2006, 19:25
Wie ist der Rechner am Internet angeschlossen?

Vielleicht DSL?

Dann würde ich mir sowieso einen Router/Firewall kaufen.

theton
03.08.2006, 19:38
Da du Debian hast, werden die iptables auch installiert sein. Hier ein kleines Skript, das du einfach nur als firerouting.sh speichern und ausfuehrbar machen musst. Dann mit './firerouting start' (als root!) ausfuehren und fertig. Damit bekommst du erstmal eine recht sichere Firewall. Willst du es bei Systemstart gleich gestartet habe, ohne dass du es per Hand machen musst, einfach nach /etc/init.d/ kopieren (auch dort muss es ausfuehrbar sein) und mit einem Runlevel-Editor fuer die richtigen Runlevel aktivieren.


#!/bin/bash

echo "Starting firewall and routing"

LOGLIMIT=20
IPTABLES=/sbin/iptables

case "$1" in
start)
# alle alten Regeln entfernen
echo "Loesche alte Regeln"
$IPTABLES -F
$IPTABLES -X

### MAIN PART ###
echo "Setze Default-Policy auf DROP"
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### ERSTELLE NEUE KETTEN ###
echo "Erstelle neue Ketten"
# Chain to log and reject a port by ICMP port unreachable
$IPTABLES -N LOGREJECT
$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable

### PROC MANIPULATION ###

# auf Broadcast-Pings nicht antworten
echo "Unterbinde Broadcast-Pings"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# halt die Klappe bei komischen ICMP Nachrichten
echo "Aktiviere Bogus ICMP Message Protection"
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# aktiviere SYN Flood Protection
echo "Aktiviere SYN FLOOD Protection"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Kicke den ganzen IP Spoofing Shit
# (Source-Validierung anschalten)
echo "Unterbinde IP Spoofing Attacken"
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
echo "Setze Default-TTL auf 61"
echo 61 > /proc/sys/net/ipv4/ip_default_ttl

# sende RST-Pakete wenn der Buffer voll ist
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow

# warte max. 30 secs auf ein FIN/ACK
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries

# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

# im Loopback (127.0.0.1) koennen wir jedem trauen
$IPTABLES -A INPUT -i lo -j ACCEPT

# erlaube Pings
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Alle TCP Packete, die bis hier hin kommen, werden
# geloggt und rejected
# Der Rest wird eh per Default Policy gedroppt...
# $IPTABLES -A INPUT -p tcp -j LOGREJECT
# $IPTABLES -A FORWARD -p tcp -j LOGREJECT
;;

*)
echo "Usage: `basename $0` {start}" >&2
exit 64
;;
esac

exit 0


Wenn du das Logging aktivieren solltest, warne ich dich gleich, dass du dann ziemlich schnell eine ziemlich grosse /var/log/messages bekommen wirst. Daher ist es hier erstmal auskommentiert. Ich hoffe, dass der Herr jetzt zufrieden ist. Wie du siehst, mache ich dir mit diesem Skript eine Firewall binnen Sekunden auf einen Linux-Rechner (abspeichern, ausfuehrbar machen, ausfuehren). Und es ist uebrigens nicht das erste Mal, dass ich dieses Skript hier reinschreibe und du haettest es mit der Forensuche ganz bestimmt problemlos finden koennen. Ausserdem ist in unserem Wiki ein Howto unter http://wiki.unixboard.de/index.php/Einrichtung_eines_einfachen_Routers_mit_Linux wo ich das gleiche Skript in leicht modifizierter Form verwende, du haettest lediglich die Routing-Funktionalitaeten entfernen muessen. Aber wie fast allen Windows-User muss man dir ja scheinbar alles auf einem Silber-Tablett servieren. Selbst nachdenken hat euch Microsoft ja offenbar schon abgewoehnt. :devil:
Im uebrigen: Linux ist nicht Windows. Eine Linux-Firewall ist wesentlich flexibler als die von Windows und daher auch um einiges komplexer. Wenn du klicki-bunti-Tools willst, schau dir fwbuilder u.ae. an. Dann bekommst du mal einen Eindruck, was man mit einer Linux-Firewall alles machen kann. Die in Windows eingebaute FW kann da nicht annaehernd mithalten.

Keruskerfürst
03.08.2006, 19:41
Aber wie fast allen Windows-User muss man dir ja scheinbar alles auf einem Silber-Tablett servieren. Selbst nachdenken hat euch Microsoft ja offenbar schon abgewoehnt.

Leider.

Deerhunter
03.08.2006, 19:47
Hallo.
der geht über Switch/XP mit T-DSL ins Netz.
So ein Router/Firewall was würdest du da empfehlen?

theton
03.08.2006, 20:47
Such dir einen aus: http://froogle.google.de/froogle?hl=de&q=%2B%22hardware-router%22&btnG=Google-Suche&sa=N&tab=wf Mit Windows laufen die eh alle. Wenn du was fuer und mit Linux willst, schau mal bei Netgear genauer hin. Da gibt's einige, fuer die es auch entsprechende Linux-Versionen gibt. Wurde hier im Board aber auch schon durchgekaut, also nutze einfach endlich mal die Forensuche.

Deerhunter
04.08.2006, 18:41
... Aber wie fast allen Windows-User muss man dir ja scheinbar alles auf einem Silber-Tablett servieren. Selbst nachdenken hat euch Microsoft ja offenbar schon abgewoehnt. :devil:


Vielen Dank für Deine Hilfe und die Mühe. Es ging mir allerdings nicht um ein Script! Sondern um etwas Grundwissen in Sachen Firewall und darin bin ich nun ein/zwei Schritte weiter!
Zu Deiner Erkenntiss gegenüber Win-User, erspare ich mir eine Antwort!

Wolfgang
04.08.2006, 20:09
Hallo

Ob dein Kernel die entsprechenden Module hat kannst du leicht rausfinden:


$ lsmod |grep "^ip"
ipt_REJECT 5440 3
ipt_TCPMSS 4352 1
ipt_tcpmss 2272 0
ipt_state 1856 0
ipt_MASQUERADE 3392 1
ipt_LOG 7072 0
iptable_mangle 2784 0
iptable_filter 2944 1
iptable_nat 23764 2 ipt_MASQUERADE
ip_conntrack 45528 3 ipt_state,ipt_MASQUERADE,iptable_nat
ip_tables 21984 9 ipt_REJECT,ipt_TCPMSS,ipt_tcpmss,ipt_state,ipt_MAS QUERADE,ipt_LOG,iptable_mangle,iptable_filter,ipta ble_nat



Wenn das so ähnlich auschaut, sind diese vorhanden.


Eine Firewall ist wichtig, bei XP schraub ich die in weniger als 5 Min. auf die Platte. Bei Linux soll ich das Rad neu erfinden und noch meine Englischkenntnisse auffrischen! Bei allem Respekt gegenüber den Entwicklern, aber Linux ist dadurch für mich keine Alternative zu XP geworden!



Es ging mir allerdings nicht um ein Script! Sondern um etwas Grundwissen in Sachen Firewall und darin bin ich nun ein/zwei Schritte weiter!

Ähm, wie jetzt war dann das gemeint?
Hast du das Rad jetzt doch neu erfunden?
Grundwissen setzt Interesse und Fleiß vorraus, und geht IMHO nicht mit "...wissen wo ich mal schnell klicken muss, damit etwas passiert was ich nicht verstehe..." einher.
Das sollte auch unter Windows gelten.
Auch heute noch gilt :
Erst der Fleiß und dann der Preis!



Zu Deiner Erkenntiss gegenüber Win-User, erspare ich mir eine Antwort!

Die hast du schon gegeben.

Ich erspar mir weitere Links, da du die offensichtlich ohnehin nicht wirklich lesen willst.

Wolfgang

Deerhunter
04.08.2006, 20:40
Hallo

Ob dein Kernel die entsprechenden Module hat kannst du leicht rausfinden:



Ahso, vielen Dank für Deine Arbeit!

Um Dir den Rest verständlich zu machen: Ein Script selber brauchte ich nicht, da ich diese im Netz gefunden habe! HOWTO's zu deren Syntax/Erstellung ebenfalls!
Mir ging es hier um das eigentliche Grundwissen über eine Firewall unter der Voraussetzung (Debian) etch ---> Kernel 2.6 ---> Firewall??? zu iptables
Oder auf gut Deutsch: Ich habe nicht gewußt das sich die FW schon im Kernel befindet!

Ferner empfehle ich Dir Menschen nicht nach Ihrem Betriebssystem zu beurteilen. Damit fällst Du schnell auf die Fresse! ;)

Keruskerfürst
04.08.2006, 20:51
Naja, erst vom diesem Board ausführlichste Unterstützung erwarten und dann, wenn die anderen Mal eine Antwort geben, die nicht gefällt, gleich mal frech werden.

Bei Unix und Linux ist es notwendig, das Handbuch des Betriebssystems durchzulesen.

Ferner ein gutes Unixhandbuch kaufen und durchlesen.

Dann gibt es da auch noch die Onlinehilfe unter /usr/share/doc/.. und die manpages.

Wolfgang
04.08.2006, 22:29
Ahso, vielen Dank für Deine Arbeit!

Um Dir den Rest verständlich zu machen: Ein Script selber brauchte ich nicht, da ich diese im Netz gefunden habe! HOWTO's zu deren Syntax/Erstellung ebenfalls!
Mir ging es hier um das eigentliche Grundwissen über eine Firewall unter der Voraussetzung (Debian) etch ---> Kernel 2.6 ---> Firewall??? zu iptables
Oder auf gut Deutsch: Ich habe nicht gewußt das sich die FW schon im Kernel befindet!

Du hast aber schon meinen Hinweis zu lsmod gelesen.
Dann bemühe dich desweiteren, künftig ein passenderen Titel für deinen Thread zu finden.


Ferner empfehle ich Dir Menschen nicht nach Ihrem Betriebssystem zu beurteilen. Damit fällst Du schnell auf die Fresse! ;)
Was du mit auf die Fresse fallen meinst, ist mir zwar unklar, schließlich suchst du hier Hilfe.
Aber:Genau das habe ich nicht getan.

Siehe:


Grundwissen setzt Interesse und Fleiß vorraus, und geht IMHO nicht mit "...wissen wo ich mal schnell klicken muss, damit etwas passiert was ich nicht verstehe..." einher.
Das sollte auch unter Windows gelten.

Ich habe meine Aussagen genau an deinem Beitrag festgemacht.

Lies dich ein, oder lass es.
Mir ist das schlussendlich egal, ob du Windows oder Linux verwendest.

Wolfgang

theton
05.08.2006, 04:11
Vielen Dank für Deine Hilfe und die Mühe. Es ging mir allerdings nicht um ein Script! Sondern um etwas Grundwissen in Sachen Firewall und darin bin ich nun ein/zwei Schritte weiter!

Ich habe dir sowohl einen Link gegeben, wo du Grundwissen haettest lernen koenne, als auch eine fertige Firewall. Mir ist nicht ganz klar, was du noch willst. Sollen wir dich jetzt noch an die Hand nehmen, dir ein Lern-Video machen, dir vielleicht auch noch einen Kuchen backen? X(


Zu Deiner Erkenntiss gegenüber Win-User, erspare ich mir eine Antwort!
Tust du ganz offensichtlich nicht.

Deerhunter
11.08.2006, 17:18
... fertige Firewall. Mir ist nicht ganz klar, was du noch willst. Sollen wir dich jetzt noch an die Hand nehmen, dir ein Lern-Video machen, dir vielleicht auch noch einen Kuchen backen? X(

Du hast alles Super gemacht keine Sorge, einen Kuchen darfst du trotzdem backen!:D
Was mich etwas genervt hat waren lediglich Deine Bemerkungen über Win-User!