Re: Newbie DSL-Firewall mit woody
Hugo Wau schrieb: > Wenn ich iptables richtig verstehe, findet die Filterung auf der, > dem eigenen LAN-zugewandten, Seite statt. Ich würde lieber > dicht an ppp0 filtern und droppen. "dicht"? Das ist eine völlig falsche Vorstellung. Genau aus diesem Grund bin ich bei diesem Thema begrifflich auch etwas penibler: iptables ist nur das Kommando/Userprogramm, mit dem die Netfilter-Module des Kernel administriert werden. Ein Paket, das von der Aussenschnittstelle nach innen weitergeleitet wird durchläuft eine ganze Reihe Stationen: Interface extern - ARP Tabelle/Proxy - ManglePREROUTING - Nat PREROUTING - IP Rules - User Routing Tabelle oder Default Routing Tabelle - MangleFORWARD - FilterFORWARD - IP Rules - User Routing Tabelle oder Default Routing Tabelle - ManglePOSTROUTING - Nat POSTROUTING - ARP Tabelle/Proxy Interface intern Also ein gutes Dutzend Tabellen und Einstellmöglichkeiten. Die Hälfte (alles in versal) kann man mit iptables administrieren. Die andere Hälfte mit ip (Paket iproute) oder teilweise mit route/arp. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Newbie DSL-Firewall mit woody
Hallo Martin, Am Fre, 2002-10-18 um 01.28 schrieb Martin Hoefling: > Am Don, 2002-10-17 um 15.24 schrieb Hugo Wau: > > Hallo Hugo, > > > Bitte um Antwort auf Anfängerfragen zur Firewallauswahl. > > Als DSL-Router und Webserver funktioniert der PII-400MHz mit Woody und > > 2.4-Kernel bereits. Die Rechner im dahinterliegenden Netzwerk kommen ins > > > Web. Soll ich die mit modconf eingebundenen Kernel-Firewall benutzen und > > womit werden diese konfiguriert wo finde ich Doku dazu? Oder ist ipables > > besser? Welche Firewall ist die Beste (am einfachsten zu konfigurieren > > oder am besten dokumentiert)? > > ... was du damit genau meinst ist nicht sonderlich klar, du bringst da > wohl einiges durcheinander :-) > > Also es gibt im wesentlichen für jede Kernel Version einen eigenen > Paketfilter, für 2.4 ist das iptables, wobei die alten der 2.2 er und > 2.0 er auch noch vorhanden sind. Dazu findest du diverse Frontends für > die Konfiguraton, z.B. fwbuilder. Ansonsten ist an Lektüre vorallem das > Iptables Howto und Packet Filtering Howto empfehlenswert. Auch die iptables Literatur bedient sich des (sehr weiten) Begriffs "Firewall". Dann hast du > aber erst einen Paket-Filter, was du dann noch willst hängt von deinem > Sicherheitsbedürftnis ab, meistens reicht ein Paket-Filter, ansonsten > kannst du natürlich auch noch IDS konfigurieren und weitere > Sicherheitsvorkehrungen treffen. Sicherheitsbedürfnis: alle Ports ausser http stealthed. Alle Pakete, droppen, ausser http aus dem Internet auf dem gleichen Rechner läuft auch ein Web-Server und ausser aus dem eigenen LAN initiierte Verbindungen (Web FTP Mail). > > > Firewall-easy macht alles dicht. > > Firewall easy kenn ich leider nicht, wie genau sind denn deine > Anforderungen, ich kann dir auch mal meine Firewalling Skripte schicken, > und evtl auch anpassen. > > > Firestarter scheint den Rechner zu überfordern. > > Bastille funktioniert leider nicht, da aus unerfindlichen Gründen die > > Datei "Tk.pm" nicht gefunden wird. > > Mit Bastille hab ich mich leider noch nicht beschäftigt und Firestarter > kenn ich auch nicht, in der Praxis sollte aber auf deinem Rechner der > Traffic aus einer DSL Leitung locker gefiltert werden können > > Viele Grüsse > Martin Höfling > > > > -- > Häufig gestellte Fragen und Antworten (FAQ): > http://www.de.debian.org/debian-user-german-FAQ/ > > Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] > mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl) > Wenn ich iptables richtig verstehe, findet die Filterung auf der, dem eigenen LAN-zugewandten, Seite statt. Ich würde lieber dicht an ppp0 filtern und droppen. Dank und Gruss Hugo -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Newbie DSL-Firewall mit woody
Am Fre, 2002-10-18 um 13.38 schrieb Markus Hubig: > On Thu, 17 Oct 2002, Hugo Wau wrote: > > > Bitte um Antwort auf Anfängerfragen zur Firewallauswahl. > > Erstmal 'nen Rüffel! Man postet ein neues Thema nicht in einen > schon vorhandenen Thread! Rüffel ist berechtigt. Sorry, soll nicht wieder vorkommen. > > > Als DSL-Router und Webserver funktioniert der PII-400MHz > > mit Woody und 2.4-Kernel bereits. Die Rechner im > > dahinterliegenden Netzwerk kommen ins Web. Soll ich die mit > > modconf eingebundenen Kernel-Firewall benutzen und womit > > werden diese konfiguriert wo finde ich Doku dazu? Oder > > ist ipables besser? Welche Firewall ist die Beste (am > > einfachsten zu konfigurieren oder am besten dokumentiert)? > > Also um es mal Pauschal zu sagen: Wer nicht genau weiß was > ein Programm (Firewall-Lössung) macht, der braucht das auch > nicht! Versuche am besten erstmal 'nen Überblick darüber zu > bekommen was eine Firewall ist und ob du so was brauchst. Ich brauche: Web-Server-Funktionen, Router und Firewall auf einer Box. Mit Ausnahme von http-(Port80)-Verbindungen sollen alle Pakete, die nicht aus dem eigenen LAN heraus initiiert wurden, gedroppt werden. > > Dann kannst Du daran gehen herauszufinden was für > verschiedenen Lösungsansätze es gibt und ein paar Sachen > ausprobieren. Das Thema Firewall ist einfach zu komplex um > zu sagen: "OK, die beste Firewall ist XY. Damit wird jeder > glücklich!" > > Zudem bedarf jede _vernünftige_ FW-Lössung einiges an KowHow. Know-How hat zwei Seiten. Die eine Seite ist die Kenntnis von Technik und Methoden. Die zweite Seite ist die konkrete Umsetzung mit der Praesentation eines "human Interface", das mehr oder weniger mühsam für jedes Produkt eines anderen "Programmierer-Hirns" (voller Hochachtung, keinesfalls verächtlich gemeint) neu erlernt werden muß. > > > Firestarter scheint den Rechner zu überfordern. > > Nen PII 400? Oha ... > > Ich nutze hier Shorewall und bin zufrieden. > Danke für den Tip. Habe Shorewall getestet. Shorewall nutzt Iptables. Meine Schwierigkeit war der Umstieg von Mandrake auf Debian. Bei Mandrake war für Firewall-Funktionen ein sehr einfacher Wizard vorhanden. Dann war noch die Sicherheit auf Paranoid zu setzen gewesen, um alle Tests mit mit einem portscanner wie pcflank.com erfolgreich (stealth) zu absolvieren. Leider blieb ich als Wizard-user im Dunkel darüber, welche Einstellungen Mandrake tatsächlich vornimmt und wie sicher es nicht nur scheinbar, sondern tatsächlich ist. (Einer der Gründe für den versuchten Wechsel zu Debian.) Dank für die Hinweise [EMAIL PROTECTED] > | http://www.shorewall.net/ > > - Markus > -- > Warum gibt es eigentlich nur *ein* Kartellamt? -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Newbie DSL-Firewall mit woody
On Thu, 17 Oct 2002, Hugo Wau wrote: > Bitte um Antwort auf Anfängerfragen zur Firewallauswahl. Erstmal 'nen Rüffel! Man postet ein neues Thema nicht in einen schon vorhandenen Thread! > Als DSL-Router und Webserver funktioniert der PII-400MHz > mit Woody und 2.4-Kernel bereits. Die Rechner im > dahinterliegenden Netzwerk kommen ins Web. Soll ich die mit > modconf eingebundenen Kernel-Firewall benutzen und womit > werden diese konfiguriert wo finde ich Doku dazu? Oder > ist ipables besser? Welche Firewall ist die Beste (am > einfachsten zu konfigurieren oder am besten dokumentiert)? Also um es mal Pauschal zu sagen: Wer nicht genau weiß was ein Programm (Firewall-Lössung) macht, der braucht das auch nicht! Versuche am besten erstmal 'nen Überblick darüber zu bekommen was eine Firewall ist und ob du so was brauchst. Dann kannst Du daran gehen herauszufinden was für verschiedenen Lösungsansätze es gibt und ein paar Sachen ausprobieren. Das Thema Firewall ist einfach zu komplex um zu sagen: "OK, die beste Firewall ist XY. Damit wird jeder glücklich!" Zudem bedarf jede _vernünftige_ FW-Lössung einiges an KowHow. > Firestarter scheint den Rechner zu überfordern. Nen PII 400? Oha ... Ich nutze hier Shorewall und bin zufrieden. | http://www.shorewall.net/ - Markus -- Warum gibt es eigentlich nur *ein* Kartellamt? msg21793/pgp0.pgp Description: PGP signature
Re: Newbie DSL-Firewall mit woody
Hugo Wau schrieb: > Kernel-Firewall benutzen und womit werden diese konfiguriert wo finde > ich Doku dazu? Oder ist ipables besser? Welche Firewall ist die Beste > (am einfachsten zu konfigurieren oder am besten dokumentiert)? Der Kernel hat keine "Firewall", sondern nur einen "Paketfilter". Zu empfehlen ist Kernel 2.4. Dieser Paketfilter wird mit iptables administriert und kann auch Stateful Inspection. Eine Startlösung, mit der man sich aber auch an's Netz trauen kann, habe ich vor kurzem hier gezeigt: http://lists.debian.org/debian-user-german/2002/debian-user-german-200210/msg01535.html Einiges mehr an Informationen gibt es im iptables-Tutorial, das mal wieder umgezogen und nun hoffentlich längerfristig unter http://iptables-tutorial.frozentux.net/ zu bekommen ist. Der Paketfilter ist aber nur Grundwerkzeug. Er hilft Dir nicht, wenn Dienste unsicher oder falsch konfiguriert werden. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Newbie DSL-Firewall mit woody
Am Don, 2002-10-17 um 15.24 schrieb Hugo Wau: Hallo Hugo, > Bitte um Antwort auf Anfängerfragen zur Firewallauswahl. > Als DSL-Router und Webserver funktioniert der PII-400MHz mit Woody und > 2.4-Kernel bereits. Die Rechner im dahinterliegenden Netzwerk kommen ins > Web. Soll ich die mit modconf eingebundenen Kernel-Firewall benutzen und > womit werden diese konfiguriert wo finde ich Doku dazu? Oder ist ipables > besser? Welche Firewall ist die Beste (am einfachsten zu konfigurieren > oder am besten dokumentiert)? ... was du damit genau meinst ist nicht sonderlich klar, du bringst da wohl einiges durcheinander :-) Also es gibt im wesentlichen für jede Kernel Version einen eigenen Paketfilter, für 2.4 ist das iptables, wobei die alten der 2.2 er und 2.0 er auch noch vorhanden sind. Dazu findest du diverse Frontends für die Konfiguraton, z.B. fwbuilder. Ansonsten ist an Lektüre vorallem das Iptables Howto und Packet Filtering Howto empfehlenswert. Dann hast du aber erst einen Paket-Filter, was du dann noch willst hängt von deinem Sicherheitsbedürftnis ab, meistens reicht ein Paket-Filter, ansonsten kannst du natürlich auch noch IDS konfigurieren und weitere Sicherheitsvorkehrungen treffen. > Firewall-easy macht alles dicht. Firewall easy kenn ich leider nicht, wie genau sind denn deine Anforderungen, ich kann dir auch mal meine Firewalling Skripte schicken, und evtl auch anpassen. > Firestarter scheint den Rechner zu überfordern. > Bastille funktioniert leider nicht, da aus unerfindlichen Gründen die > Datei "Tk.pm" nicht gefunden wird. Mit Bastille hab ich mich leider noch nicht beschäftigt und Firestarter kenn ich auch nicht, in der Praxis sollte aber auf deinem Rechner der Traffic aus einer DSL Leitung locker gefiltert werden können Viele Grüsse Martin Höfling -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)