Re: Firewall/ipchains
Joern Gersdorf [EMAIL PROTECTED] wrote: Hallo, ich habe mir eine Firewall mit ipchains aufgebaut - im wesentlichen anhand des Beispiels von Berthold Müller, das man unter http://home.foni.net/~bmueller/infos/ipchains2.html finden kann. Jetzt verfolge ich natürlich meine /var/log/syslog und stelle fest, daß mein Rechner anscheinen versucht, einen anderen Rechner auf Port 3 zu connected: Oct 19 17:14:23 sternenzelt kernel: Packet log: output REJECT ppp0 PROTO=1 213.6.51.47:3 62.104.196.134:3 L=235 S=0xC0 I=35412 F=0x T=255 (#24) Dazu meine Frage: was läuft unter Port 3 (ich habe in der Portliste nur was von Compression-Service gefunden) und sollte ich das durchlassen? Hallo! Das ist kein "Port", PROTO=1 ist icmp[1], und die 3 heisst laut ipchains-Howto, das das Paket vom Typ destination-unreachable ist. cu andreas [1] /etc/protocols -- Andreas Metzler, Wien | [EMAIL PROTECTED] | - Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe deine_email_adresse" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] - 760 eingetragene Mitglieder in dieser Liste.
[Debian] Firewall/ipchains
Hallo, ich habe mir eine Firewall mit ipchains aufgebaut - im wesentlichen anhand des Beispiels von Berthold Müller, das man unter http://home.foni.net/~bmueller/infos/ipchains2.html finden kann. Jetzt verfolge ich natürlich meine /var/log/syslog und stelle fest, daß mein Rechner anscheinen versucht, einen anderen Rechner auf Port 3 zu connected: Oct 19 17:14:23 sternenzelt kernel: Packet log: output REJECT ppp0 PROTO=1 213.6.51.47:3 62.104.196.134:3 L=235 S=0xC0 I=35412 F=0x T=255 (#24) Dazu meine Frage: was läuft unter Port 3 (ich habe in der Portliste nur was von Compression-Service gefunden) und sollte ich das durchlassen? Viele Grüße Jörn -- Jörn Gersdorf [EMAIL PROTECTED] ICQ: 39384677 [EMAIL PROTECTED] - Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe deine_email_adresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] - 760 eingetragene Mitglieder in dieser Liste.
Re: Firewall/ipchains
Joern Gersdorf [EMAIL PROTECTED] schreibt: Jetzt verfolge ich natürlich meine /var/log/syslog und stelle fest, daß mein Rechner anscheinen versucht, einen anderen Rechner auf Port 3 zu connected: Oct 19 17:14:23 sternenzelt kernel: Packet log: output REJECT ppp0 PROTO=1 213.6.51.47:3 62.104.196.134:3 L=235 S=0xC0 I=35412 F=0x T=255 (#24) Das scheint ein ICMP-Paket zu sein. Die Protokollnummern findest Du in /etc/protocols. Dazu meine Frage: was läuft unter Port 3 (ich habe in der Portliste nur was von Compression-Service gefunden) und sollte ich das durchlassen? Das ist kein Port, sondern ein sogenannter Meldungstyp. Die Typen findest Du zum Beispiel in /usr/include/linux/icmp.h. Laut IPCHAINS-HOWTO sollte der Typ 3 (destination-unreachable) akzeptiert werden. Warum Dein Rechner dieses Paket versendet, ist allerdings eine andere Frage. - Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe deine_email_adresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] - 760 eingetragene Mitglieder in dieser Liste.
Re: [Debian] Firewall/ipchains
* Jörg Fischer [EMAIL PROTECTED] wrote: Joern Gersdorf wrote: Oct 19 17:14:23 sternenzelt kernel: Packet log: output REJECT ppp0 PROTO=1 213.6.51.47:3 62.104.196.134:3 L=235 S=0xC0 I=35412 F=0x T=255 (#24) PROTO=1 ist ICMP; Destination Unreachable dürfte das sein. Stellt sich mir aber die Frage warum man so etwas filtern sollte, vor allem wenn man wie Joern garnicht weiss was man da filtert. IMHO harmlos. Solche Fragen sind vielleicht in de.comp.security besser aufgehoben - wenn Du Dich nicht vor Felix und Robin fürchtest :-) Vor denen muss man keine Angst haben. Regards/Gruesse, Norbert -- - / Norbert Tretkowskihttp://nexus.nobse.de[EMAIL PROTECTED] \ ` 1024D/0F7A8D01 4A6B 2543 679D 43B0 2B63 5439 AFF4 670B 0F7A 8D01 ' `---' pgpM1LkkZylCu.pgp Description: PGP signature
Re: Firewall/ipchains
Joern Gersdorf [EMAIL PROTECTED] wrote: Hallo, ich habe mir eine Firewall mit ipchains aufgebaut - im wesentlichen anhand des Beispiels von Berthold Müller, das man unter http://home.foni.net/~bmueller/infos/ipchains2.html finden kann. Jetzt verfolge ich natürlich meine /var/log/syslog und stelle fest, daß mein Rechner anscheinen versucht, einen anderen Rechner auf Port 3 zu connected: Oct 19 17:14:23 sternenzelt kernel: Packet log: output REJECT ppp0 PROTO=1 213.6.51.47:3 62.104.196.134:3 L=235 S=0xC0 I=35412 F=0x T=255 (#24) Dazu meine Frage: was läuft unter Port 3 (ich habe in der Portliste nur was von Compression-Service gefunden) und sollte ich das durchlassen? Hallo! Das ist kein Port, PROTO=1 ist icmp[1], und die 3 heisst laut ipchains-Howto, das das Paket vom Typ destination-unreachable ist. cu andreas [1] /etc/protocols -- Andreas Metzler, Wien | [EMAIL PROTECTED] | - Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe deine_email_adresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] - 760 eingetragene Mitglieder in dieser Liste.
Re: [Debian]:firewall: ipchains rules
On Sun, 21 May 2000, Stefan Nobis wrote: Matthias Wolle [EMAIL PROTECTED] writes: meine frage: wenn ich in Input ein Packet akzeptiere kann ich das dann noch forwarden(masq)? eigentlich nicht oder? Doch. Vielleicht mal ein klein wenig Grundlagen: Ein Paket, dass auf dem Router selber erzeugt wird, geht nur durch input, sondern max. durch forward und output. Durch forward gehen alles Pakete, die geforwarded, also geroutet werden, d.h. diejenigen, die von einem Interface auf ein anderes wollen (z.B. lo nach eth0 oder eth0 nach eth1). Durch die input Regeln laufen nur Pakete, die von aussen kommen. Davon abgesehen sind die 3 Bereiche input, forward, output unabhaengig. Wenn ich also alles auf default deny stelle, muss ich fuer jede Queue eine Regel erstellen, wenn ein Paket z.B. von eth0 nach eth1 geroutet werden soll, also ich muss in input die Annahme von eth0 erlauben, in forward muss ich das weiterleiten auf eth1 erlauben und in output muss ich die Ausgabe auf eth1 erlauben. Wenn sich der Router also mit deinem Netz unterhalten koennen soll, sind schon mal mind. 6 Regeln faellig (soll ja in beide Richtungen klappen; mehr als 6 Regeln, falls du auch intern bestimmte Dinge sperren willst). Hi Danke genau sowas habe ich gebraucht. mfg Matthias -- Until the next mail..., Stefan. Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 729 Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 729
Re: [Debian]:firewall: ipchains rules
Matthias Wolle [EMAIL PROTECTED] writes: meine frage: wenn ich in Input ein Packet akzeptiere kann ich das dann noch forwarden(masq)? eigentlich nicht oder? Doch. Vielleicht mal ein klein wenig Grundlagen: Ein Paket, dass auf dem Router selber erzeugt wird, geht nur durch input, sondern max. durch forward und output. Durch forward gehen alles Pakete, die geforwarded, also geroutet werden, d.h. diejenigen, die von einem Interface auf ein anderes wollen (z.B. lo nach eth0 oder eth0 nach eth1). Durch die input Regeln laufen nur Pakete, die von aussen kommen. Davon abgesehen sind die 3 Bereiche input, forward, output unabhaengig. Wenn ich also alles auf default deny stelle, muss ich fuer jede Queue eine Regel erstellen, wenn ein Paket z.B. von eth0 nach eth1 geroutet werden soll, also ich muss in input die Annahme von eth0 erlauben, in forward muss ich das weiterleiten auf eth1 erlauben und in output muss ich die Ausgabe auf eth1 erlauben. Wenn sich der Router also mit deinem Netz unterhalten koennen soll, sind schon mal mind. 6 Regeln faellig (soll ja in beide Richtungen klappen; mehr als 6 Regeln, falls du auch intern bestimmte Dinge sperren willst). -- Until the next mail..., Stefan. Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 729
Re: [Debian]:firewall: ipchains rules
On Wed, May 17, 2000 at 07:27:08PM +0200, Joerg Friedrich wrote: ok, mal ein paar fragen vorneweg: - ist ip_masquerading im kernel aktiviert? Das allein reicht nicht. Das Forwarding muß noch mit echo 1 /proc/sys/net/ipv4/ip_forward eingeschaltet werden. Ich hab mir damals den Wolf gesucht, ich sags Dir! Vielleicht liegt es ja daran. bye Christian -- M$: Unsere Software von Morgen sorgt dafür, daß auf Ihrer Hardware von Morgen alles in gewohnter Geschwindigkeit funktioniert. Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 723
Re: [Debian]:firewall: ipchains rules
On Wed, 17 May 2000, Joerg Friedrich wrote: On Wed, 17 May 2000, Matthias Wolle wrote: Hallo Ich wollt bevor ich eine feste öffentliche IP bekomme meine Rechner dicht machen leider komme ich trotz http://www2.little-idiot.de/firewall/zusammen.html nicht weiter :( folgende Situation: linux 2.2 mit 2.2.14 kernel als firewall und router eth0 =192.168.65.23 per dhcp (Internet-connection) eth1=192.168.1.1 Intrannet bind laueft auf der firewall es soll kein Dienst der firewall (bis auf ssh, hat aber nicht prio) aus dem Internet erreichbar sein aus dem Intranet soll ins internet geroutet werden ping/traceroute/icq/quake3/irc ... etc soll weiterhin funktionieren ok, mal ein paar fragen vorneweg: ich benutze den router schon ein halbes Jahr habe mir aber nie gedanken über ne firewall gemacht - Sind die Routen insbesondere die default-route richtig gesetzt? Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.65.00.0.0.0 255.255.255.0 U 0 00 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth1 0.0.0.0 192.168.65.254 0.0.0.0 UG0 00 eth0 - ist ip_masquerading im kernel aktiviert? ja - sind die module fuer ftp, quake ... im masquerading vorhanden? ahhm wo find ich solche module? im kernel? bis jetzt lief der router per NAT - klappt der zugriff VON der firewall nach extern? nope mit den alten regeln die alles offen haben klappt alles :)) z.Z. geht ping/Telnet vom LAN zum router (auf 192.168.1.1) ping von der firewall zu eth0/1 bringt ping: sendto: operation not permitted ping vom router ins lokale Netz funzt also schon mal nicht schlecht als erstes mach Dir das leben leichter und definiere in deinem firewall-script variablen. so kannst Du auf veraenderte ipadressen einfacher reagieren, und da Du per dhcp eine adresse zugewiesen bekommst, musst Du sowieso dem firewall-script die adresse uebergeben und die firewall-rules anpassen lassen. das hat ich noch vor :-)) erstmal sollte das ganze funktionieren bevor ich mehr energie in scripte stecke also z.b. --- #/bin/sh IPCHAINS=/sbin/ipchains # ich bin schreibfaul :-) hehe =) localhost=127.0.0.1/8 intranet=192.168.1.0/24 ip_intern=192.168.1.1/32 if_intern=eth1 any=0.0.0.0/0 ip_extern=192.168.65.23/32 # ggf. ip_extern=$1 wenn die ipadresse dem script als parameter uebergeben werden soll. if_extern=eth0 # und dann mal los. # $IPCHAINS -P input DENY $IPCHAINS -P output DENY $IPCHAINS -P forward DENY ... Meine Vorgehensweise: zum testen wuerde ich erst mal alles auf accept setzen und nur das masquerading einrichten. wenn das dann problemlos laeuft, kannst Du es angehen, schritt fuer schritt die firewall aufzubauen. Wenn Du alles gleichzeitig probierst, ist es immer unuebersichtlich und erschwehrt die fehlersuche. Ausserdem bist Du ja wohl noch nicht mit einer oeffentlichen ip verbunden, das risiko ist also gering ich hab noch ein problem mit input, forward und output soweit ich das verstanden habe geht jedes ankommende Paket durch alle 3 Filter bis es auf eine entsprechende regel stoesst meine frage: wenn ich in Input ein Packet akzeptiere kann ich das dann noch forwarden(masq)? eigentlich nicht oder? Gruss Matthias Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 723
Re: [Debian]:firewall: ipchains rules
On Wed, 17 May 2000, Christian Schrader wrote: On Wed, May 17, 2000 at 07:27:08PM +0200, Joerg Friedrich wrote: ok, mal ein paar fragen vorneweg: - ist ip_masquerading im kernel aktiviert? Das allein reicht nicht. Das Forwarding muß noch mit echo 1 /proc/sys/net/ipv4/ip_forward eingeschaltet werden. Ich hab mir damals den Wolf gesucht, ich sags Dir! ich hab das ipmasq packet installiert ich glaub das wird von dem erledigt das masquerading funzt schon mir geht es mehr um die rules die krieg ich nicht richtig hin Gruss Matthias Vielleicht liegt es ja daran. bye Christian -- M$: Unsere Software von Morgen sorgt dafür, daß auf Ihrer Hardware von Morgen alles in gewohnter Geschwindigkeit funktioniert. Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 723 Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 727
[Debian]:firewall: ipchains rules
Hallo Ich wollt bevor ich eine feste öffentliche IP bekomme meine Rechner dicht machen leider komme ich trotz http://www2.little-idiot.de/firewall/zusammen.html nicht weiter :( folgende Situation: linux 2.2 mit 2.2.14 kernel als firewall und router eth0 =192.168.65.23 per dhcp (Internet-connection) eth1=192.168.1.1 Intrannet bind laueft auf der firewall es soll kein Dienst der firewall (bis auf ssh, hat aber nicht prio) aus dem Internet erreichbar sein aus dem Intranet soll ins internet geroutet werden ping/traceroute/icq/quake3/irc ... etc soll weiterhin funktionieren #flush /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward #lokale Dienste ueber loopback akzeptieren /sbin/ipchains -A input -i lo -j ACCEPT #Ist das nötig? #alles aus dem lokalem netz zum gateway akzeptieren /sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.1.1 -i eth1 -j ACCEPT #gesamte tcp aus dem Internet akzeptieren aber nur mit ack bit !? /sbin/ipchains -A input -s 0.0.0.0/0 -d 192.168.65.23 -p tcp ! -y -i eth0 -j ACCEPT #verbindung ins Internet ermöglichen /sbin/ipchains -A output -s 192.168.65.23 -d 0.0.0.0/0 -i eth0 -j ACCEPT #interne Kommunikation ermöglichen?!? /sbin/ipchains -A output -s 192.168.1.1 -d 192.168.1.0/24 -i eth1 -j ACCEPT # don't masq internal-internal traffic /sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT # don't masq external interface direct /sbin/ipchains -A forward -s 192.168.65.0/24 -d 0.0.0.0/0 -j ACCEPT # masquerade all internal IP's going outside /sbin/ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQ #muss ich hier noch sowas wie einen Rueckkanal aufmachen?? # deny alles andere /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY z.Z. funktioniert nicht mal http :(( Für jede Hilfe dankbar Matthias Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 723
Re: [Debian]:firewall: ipchains rules
On Wed, 17 May 2000, Matthias Wolle wrote: Hallo Ich wollt bevor ich eine feste öffentliche IP bekomme meine Rechner dicht machen leider komme ich trotz http://www2.little-idiot.de/firewall/zusammen.html nicht weiter :( folgende Situation: linux 2.2 mit 2.2.14 kernel als firewall und router eth0 =192.168.65.23 per dhcp (Internet-connection) eth1=192.168.1.1Intrannet bind laueft auf der firewall es soll kein Dienst der firewall (bis auf ssh, hat aber nicht prio) aus dem Internet erreichbar sein aus dem Intranet soll ins internet geroutet werden ping/traceroute/icq/quake3/irc ... etc soll weiterhin funktionieren ok, mal ein paar fragen vorneweg: - Sind die Routen insbesondere die default-route richtig gesetzt? - ist ip_masquerading im kernel aktiviert? - sind die module fuer ftp, quake ... im masquerading vorhanden? - klappt der zugriff VON der firewall nach extern? als erstes mach Dir das leben leichter und definiere in deinem firewall-script variablen. so kannst Du auf veraenderte ipadressen einfacher reagieren, und da Du per dhcp eine adresse zugewiesen bekommst, musst Du sowieso dem firewall-script die adresse uebergeben und die firewall-rules anpassen lassen. also z.b. --- #/bin/sh IPCHAINS=/sbin/ipchains # ich bin schreibfaul :-) localhost=127.0.0.1/8 intranet=192.168.1.0/24 ip_intern=192.168.1.1/32 if_intern=eth1 any=0.0.0.0/0 ip_extern=192.168.65.23/32 # ggf. ip_extern=$1 wenn die ipadresse dem script als parameter uebergeben werden soll. if_extern=eth0 # und dann mal los. # $IPCHAINS -P input DENY $IPCHAINS -P output DENY $IPCHAINS -P forward DENY ... --- Meine Vorgehensweise: zum testen wuerde ich erst mal alles auf accept setzen und nur das masquerading einrichten. wenn das dann problemlos laeuft, kannst Du es angehen, schritt fuer schritt die firewall aufzubauen. Wenn Du alles gleichzeitig probierst, ist es immer unuebersichtlich und erschwehrt die fehlersuche. Ausserdem bist Du ja wohl noch nicht mit einer oeffentlichen ip verbunden, das risiko ist also gering #flush /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward #lokale Dienste ueber loopback akzeptieren /sbin/ipchains -A input -i lo -j ACCEPT #Ist das nötig? aber ja :-) s #alles aus dem lokalem netz zum gateway akzeptieren /sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.1.1 -i eth1 -j ACCEPT #gesamte tcp aus dem Internet akzeptieren aber nur mit ack bit !? /sbin/ipchains -A input -s 0.0.0.0/0 -d 192.168.65.23 -p tcp ! -y -i eth0 -j ACCEPT #verbindung ins Internet ermöglichen /sbin/ipchains -A output -s 192.168.65.23 -d 0.0.0.0/0 -i eth0 -j ACCEPT #interne Kommunikation ermöglichen?!? /sbin/ipchains -A output -s 192.168.1.1 -d 192.168.1.0/24 -i eth1 -j ACCEPT # don't masq internal-internal traffic /sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT # don't masq external interface direct /sbin/ipchains -A forward -s 192.168.65.0/24 -d 0.0.0.0/0 -j ACCEPT # masquerade all internal IP's going outside /sbin/ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQ #muss ich hier noch sowas wie einen Rueckkanal aufmachen?? # deny alles andere /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY z.Z. funktioniert nicht mal http :(( Für jede Hilfe dankbar Matthias Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 723 -- Heute ist nicht alle Tage, ich komme wieder, keine Frage!!! Joerg Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body unsubscribe debian-user-de deine emailadresse enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] Anzahl der eingetragenen Mitglieder: 723