On Thu, 13 Jul 2000, Holger Leskien wrote: > Hallo, > > mir war bewusst, daß unser Einwahl-Server gescannt wird, wenn wir im > Internet sind. Doch jetzt wollte ich es genau wissen und habe tcplogd und > icmplogd installiert. Mir war nicht bewusst, daß es so häufig passiert... Hi
ab potato wird ippl als logger empfohlen > > Das ist endlich ein Grund bei uns eine Firewall zu installieren, was ich > schon seit längerem vorhatte. Nunja, leider komme ich nicht sehr weit, was > vor allem mit logischen Problemen zu tun hat. > > Was ich will: > > - alle Zugriffe von innen nach aussen erlauben > - alle Zugriffe von aussen nach innen verbieten, nur ssh bleibt offen > - zusätzliche Sicherheitsmaßnahmen, z.B. Anti-Spoofing-Regeln > > Ach ja, unser Einwahlserver hängt natürlich an unserem internen Netz und > unterstützt Masquerading. ippp0 = externes interface eth0 = internes interface des localnet so ne? > > Das habe ich (einige Regeln sind zur Zeit auskommentiert, da sie nicht > funktionieren) > > LOCALNET="192.168.1.0/24" > > # Flush > ipchains -F input > ipchains -F output > ipchains -F forward > > # Default-Policy > #ipchains -P input DENY ipchains -P output DENY > > # Alle Pakete von innen erlauben > #ipchains -A input -i eth0 -s $LOCALNET -j ACCEPT ist ok > > # Pakete an sich selber erlauben > #ipchains -A input -i lo -j ACCEPT jo > # gespoofte Adressen loggen und ablehnen > #ipchains -A input -i ippp0 -s $LOCALNET -l -j DENY auch ok > # nur Antwort-Pakete von aussen zulassen (SYN-Bit gesetzt) > #ipchains -A input -p TCP -s $LOCALNET -y wenn das syn Bit gesetzt ist, wird versucht eine Verbindung aufzubauen ein '!' invertiert die bedeutung #nur angeforderten Traffic erlauben ipchains -A input -i ippp0 -p tcp -d $your_public_IP ! -y -j ACCEPT > # ssh oeffnen (fehlt noch) ipchains -A input -i ippp0 -d $your_public_IP ssh -j ACCEPT #Verbindungsversuche loggen ipchains -A input -i ippp0 -p tcp -d $your_public_IP -y -j DENY -l > > # Enable simple IP forwarding and Masquerading > ipchains -P forward REJECT > ipchains -A forward -s $LOCALNET -j MASQ fehlt die andere Richtung wenn etwas reinkommt von draussen ipchains -A forward -s $LOCALNET -i ippp0 -j MASQ ipchains -A forward -d $LOCALNET -i eth0 -j MASQ forwarding etwas genauer: ########### #internal-internal traffic ipchains -A forward -s $LOCALNET -d $LOCALNET -i eth0 -j ACCEPT #external-external traffic ipchains -A forward -s $EXTERNAL_NET -i ippp0 -j ACCEPT #masquerade rest ipchains -A forward -s $LOCALNET -i ippp0 -j MASQ #das liest man: forwarde traffic des internen Netzes zum interface ippp0 #und die andere Richtung: ipchains -A forward -d $LOCALNET -i eth0 -j MASQ ########### > # alle restlichen Pakete mitloggen > ipchains -A input -l > > > Anscheinend geht es nicht, weil ich auch alle Pakete von innen auf das > Interface ippp0 erlauben muss. Doch dann ist ja die Spoofing-Regel > hinfällig, oder? das war damals auch mein Denkfehler :)) durch das masquerading wird eine neue IP fuer das packet vergeben, die des externen Interfaces so musst du nur noch den output nach innen und aussen erlauben ### #output alles rein- und rauslassen ipchains -A output -d $LOCALNET -i eth0 -j ACCEPT ipchains -A output -i ippp0 -j ACCEPT #### > ipchains -A input -i ippp0 -s $LOCALNET -j ACCEPT wech mit der regel > > oder für beide gleichzeitig > > ipchains -A input -s $LOCALNET -j ACCEPT > > Wer kann mir weiterhelfen? ich hoffe es hilft oder versuch das mal: http://www2.little-idiot.de/firewall/zusammen.html Gruss Matthias > > Gruß > > Holger ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 734