[gentoo-user-de] welche Firewall?

[gentoo-user-de] welche Firewall?

[Thomas Bruns]

Hallo NG

ich würde mir gerne eine Firewall installieren. Eine die Pakete filtert.
Nun weiß ich aber nicht genau, wie man vorgeht.

ich hab mal geschaut, bei anderen Distries, sowas wie shorewall wäre doch gut.

Es wäre sehr gut, wenn man nen set an vorgefertigten Regeln schon hat.

Weiß da jemand Rat?

-- 
Gruß
Thomas
---
CBUILD="x86_64-pc-linux-gnu"
CFLAGS="-march=core2 -O2 -msse4.1 -msse4.2 -pipe"
CXXFLAGS="-march=core2 -O2 -msse4.1 -msse4.2 -pipe"
LDFLAGS="-Wl,-O1,--hash-style=gnu,--sort-common,--as-needed"

Re: [gentoo-user-de] welche Firewall?

[Wolfgang Jankowski]

Hallo Thomas,
man kann von Suse halten, was man will, aber das "Suse-Firewall-Handbuch" mit 
über 400 Seiten und mit vielen Beispielen ist eine große Hilfe. 
Vom Grundsatz her solltest du erst einmal so anfangen:
- Verbindungsaufbau von außen her ist verboten
- Von innen sind alle Pakete erlaubt.
- Pakete von außen müssen zu einer Verbindung gehören, die von innen aufgebaut 
wurde.
Alles wird direkt mit iptables gesteuert.
Darauf werden dann weitere Einschränkungen gepackt, um z.B. das ewige "nach 
Hause telefonieren" vieler Anwendungen zu blocken.
Andererseits werden bestimmte Ports von außen innen irgendwie weitergeleitet 
(der eigene Asterisk-Server, ...)

Shorewall habe ich einmal getestet, aber es macht nur Sinn, wenn du mehrere 
Netze im Haus betreibst. Die Flexibilität, die iptables bietet, geht meiner 
Meinung nach durch shorewall stark herab.

Schau ansonsten bei auch bei webmin nach. Du wirst aber irgendwann doch bei 
iptables landen. Warum also nicht von Anfang an damit beschäftigen? :-)

Tschüß
Wolfgang

Am Samstag 14 November 2009 schrieb Thomas Bruns:
> Hallo NG
>
> ich würde mir gerne eine Firewall installieren. Eine die Pakete filtert.
> Nun weiß ich aber nicht genau, wie man vorgeht.
>
> ich hab mal geschaut, bei anderen Distries, sowas wie shorewall wäre doch
> gut.
>
> Es wäre sehr gut, wenn man nen set an vorgefertigten Regeln schon hat.
>
> Weiß da jemand Rat?

Re: [gentoo-user-de] welche Firewall?

[Bernd Wurst]

[-- Attachment #1: Type: Text/Plain, Size: 1523 bytes --]

Am Samstag 14 November 2009 12:39:25 schrieb Thomas Bruns:
> ich würde mir gerne eine Firewall installieren. Eine die Pakete filtert.

Damit du sagen kannst "ich hab ne firewall" oder soll die wirklich was zu tun 
haben? Ist dein Rechner ein Router? Was genau soll die denn Filtern. Ein 
"normaler" Rechner braucht absolut keine Firewall. Insbesondere ein Gentoo-
Rechner, bei dem man sich halbwegs sicher sein kann dass man weiß welche 
Serverdienste laufen und welche nicht.

Auf einem Server oder einem Gateway ist das sinnvoll, bei einem 
Einzelplatzrechner nicht.


> ich hab mal geschaut, bei anderen Distries, sowas wie shorewall wäre doch
>  gut.
> Es wäre sehr gut, wenn man nen set an vorgefertigten Regeln schon hat.

Bei einem Linux-System läuft es immer auf iptables/netfilter hinaus. Egal wie 
die Firewall heißt, letztlich erstellt und verwaltet eine Oberfläche immer 
iptables-Regeln.

Da du nicht geschrieben hast für was du eine Firewall brauchst, weiß bestimmt 
auch keine was deine "vorgefertigten" Regeln tun sollen. Wenn du ein Gateway 
hast, dann macht es u.U. Sinn, vorgefertigte Regelsätze für ein Gateway zu 
benutzen. Bei einem Einzelplatzrechner wo eine Firewall nur symbolischen Wert 
haben kann, wüsste ich jetzt nicht was für vorgefertigte Regeln man da haben 
will.

Gruß, Bernd

-- 
Es stimmt nicht, dass die Engländer keine Musik mögen.
Sie verstehen sie vielleicht nicht, aber sie lieben die Geräusche,
die sie macht.  -  Thomas Beecham (engl. Dirigent)

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 836 bytes --]

Re: [gentoo-user-de] welche Firewall?

[Thomas Bruns]

Am Samstag 14 November 2009 15:52:30 schrieb Wolfgang Jankowski:
> Hallo Thomas,
> man kann von Suse halten, was man will, aber das "Suse-Firewall-Handbuch"
>  mit über 400 Seiten und mit vielen Beispielen ist eine große Hilfe.
> Vom Grundsatz her solltest du erst einmal so anfangen:
> - Verbindungsaufbau von außen her ist verboten
> - Von innen sind alle Pakete erlaubt.
> - Pakete von außen müssen zu einer Verbindung gehören, die von innen
>  aufgebaut wurde.
> Alles wird direkt mit iptables gesteuert.
> Darauf werden dann weitere Einschränkungen gepackt, um z.B. das ewige "nach
> Hause telefonieren" vieler Anwendungen zu blocken.
> Andererseits werden bestimmte Ports von außen innen irgendwie
>  weitergeleitet (der eigene Asterisk-Server, ...)
> 
> Shorewall habe ich einmal getestet, aber es macht nur Sinn, wenn du mehrere
> Netze im Haus betreibst. Die Flexibilität, die iptables bietet, geht meiner
> Meinung nach durch shorewall stark herab.
> 
> Schau ansonsten bei auch bei webmin nach. Du wirst aber irgendwann doch bei
> iptables landen. Warum also nicht von Anfang an damit beschäftigen? :-)
> 
> Tschüß
> Wolfgang
Hallo Wolfgang

Genau um das ewige Hinaustelefonieren von Anwendungen geht mir auch so und um 
das beschäftigen mit der Firewall. 

ne meine Konfiguration sieht eigentlich so aus.. DSL-Modem <--> Router <--> 
Computer evtl. noch WLAN und nen Laptop...

OK der Router hat schon NAT und ne eigene Firewall, die man aber nicht so gut 
Konfigurieren kann...

Aber wie gesagt, ich würde mich gernen mehr mit beschäftigen und werde wohl 
auch virtuelle Maschinen bauen und damit spielen...

Dazu wüsste ich auch gernen noch, ob man es dann so einrichten kann, das auf 
dem Desktop (KDE) Meldungen kommen, wenn etwas "verdächtiges" an der Firewall 
auftaucht?

Das mit Shorewall hab ich dann wohl nicht verstanden :-( dachte es wäre auch 
iptables basiert und ne vorgefertige Firewall?
-- 
Gruß
Thomas
---
CBUILD="x86_64-pc-linux-gnu"
CFLAGS="-march=core2 -O2 -msse4.1 -msse4.2 -pipe"
CXXFLAGS="-march=core2 -O2 -msse4.1 -msse4.2 -pipe"
LDFLAGS="-Wl,-O1,--hash-style=gnu,--sort-common,--as-needed"

Re: [gentoo-user-de] welche Firewall?

[Thomas Bruns]

Am Samstag 14 November 2009 16:41:07 schrieb Bernd Wurst:
> Damit du sagen kannst "ich hab ne firewall" oder soll die wirklich was zu
>  tun haben? Ist dein Rechner ein Router? Was genau soll die denn Filtern.
>  Ein "normaler" Rechner braucht absolut keine Firewall. Insbesondere ein
>  Gentoo- Rechner, bei dem man sich halbwegs sicher sein kann dass man weiß
>  welche Serverdienste laufen und welche nicht.

OK das mit den Serverdiensten verstehe ich ja ;-) grins
Ich wollte mich im allgemeinen mit dem Thema mehr beschäftigen, um des 
mitredens willen :-)

Ich wollte Virtuelle Maschinen aufsetzen und da ein wenig rumspielen, auch mit 
angriffen gegeneinander

> Bei einem Linux-System läuft es immer auf iptables/netfilter hinaus. Egal
>  wie die Firewall heißt, letztlich erstellt und verwaltet eine Oberfläche
>  immer iptables-Regeln.

Aha, was sind den netfilter?
Welche Oberflächen gibt es den so oder ist da kmyfirewall gemeint?

> Da du nicht geschrieben hast für was du eine Firewall brauchst, weiß
s.o.
>  bestimmt auch keine was deine "vorgefertigten" Regeln tun sollen. Wenn du
>  ein Gateway hast, dann macht es u.U. Sinn, vorgefertigte Regelsätze für
>  ein Gateway zu benutzen. Bei einem Einzelplatzrechner wo eine Firewall nur
>  symbolischen Wert haben kann, wüsste ich jetzt nicht was für vorgefertigte
>  Regeln man da haben will.
mir geht es da ein bißchen um das einlesen bzw. um zu sehen, wie andere 
Regelwerke so vorgehen... 
-- 
Gruß
Thomas
---
CBUILD="x86_64-pc-linux-gnu"
CFLAGS="-march=core2 -O2 -msse4.1 -msse4.2 -pipe"
CXXFLAGS="-march=core2 -O2 -msse4.1 -msse4.2 -pipe"
LDFLAGS="-Wl,-O1,--hash-style=gnu,--sort-common,--as-needed"

Re: [gentoo-user-de] welche Firewall?

[Jens Meißner]

[-- Attachment #1: Type: text/plain, Size: 947 bytes --]

Am Sat, 14 Nov 2009 12:39:25 +0100
schrieb Thomas Bruns <gentoo@donbruno.de>:

> Hallo NG
> 
> ich würde mir gerne eine Firewall installieren. Eine die Pakete
> filtert. Nun weiß ich aber nicht genau, wie man vorgeht.
> 
> ich hab mal geschaut, bei anderen Distries, sowas wie shorewall wäre
> doch gut.
> 
> Es wäre sehr gut, wenn man nen set an vorgefertigten Regeln schon hat.
> 
> Weiß da jemand Rat?
> 

Ich weiß nicht obs hilft, aber ich habe iptables wie folgt eingerichtet:

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP

Dies bewirkt, das alle eingehenden Pakete gedropt werden, außer sie
gehören zu einer bestehenden Verbindung oder sie kommen über Link Local.

Ausgehende Pakete werden nicht gefiltert und die Weiterleitung von
Paketen ist generell abgeschaltet.

Gruß
Jens

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [gentoo-user-de] welche Firewall?

[Jens Meißner]

[-- Attachment #1: Type: text/plain, Size: 947 bytes --]

Am Sat, 14 Nov 2009 12:39:25 +0100
schrieb Thomas Bruns <gentoo@donbruno.de>:

> Hallo NG
> 
> ich würde mir gerne eine Firewall installieren. Eine die Pakete
> filtert. Nun weiß ich aber nicht genau, wie man vorgeht.
> 
> ich hab mal geschaut, bei anderen Distries, sowas wie shorewall wäre
> doch gut.
> 
> Es wäre sehr gut, wenn man nen set an vorgefertigten Regeln schon hat.
> 
> Weiß da jemand Rat?
> 

Ich weiß nicht obs hilft, aber ich habe iptables wie folgt eingerichtet:

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP

Dies bewirkt, das alle eingehenden Pakete gedropt werden, außer sie
gehören zu einer bestehenden Verbindung oder sie kommen über Link Local.

Ausgehende Pakete werden nicht gefiltert und die Weiterleitung von
Paketen ist generell abgeschaltet.

Gruß
Jens

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [gentoo-user-de] welche Firewall?

[Wolfgang Jankowski]

Hallo Thomas,

shorewall ist eine "Meta-Firewall", in der Regeln definiert werden. 
Anschließend werden sie in iptables-Anweisungen umgesetzt.
Mir war der Aufwand zu groß.

Was noch interessant wäre, sind die Artikel von Rusty Russel, der den 
iptables-Teil des Kernels entwickelt. Dor wird beschrieben, was iptables 
alles kann.

Tschüß
Wolfgang

Re: [gentoo-user-de] welche Firewall?

[Bernd Wurst]

[-- Attachment #1: Type: Text/Plain, Size: 2072 bytes --]

Am Sonntag 15 November 2009 09:07:55 schrieb Thomas Bruns:
> OK das mit den Serverdiensten verstehe ich ja ;-) grins
> Ich wollte mich im allgemeinen mit dem Thema mehr beschäftigen, um des
> mitredens willen :-)

Okay, das ist sicherlich auch ein ehrbarer Grund. Aber genau dann solltest du 
von grafischen Oberflächen und vordefinierten Regelsätzen Abstand nehmen.

Suche im Netz nach iptables-Regelsätzen und versuche diese zu verstehen (siehe 
Doku) und dann (passend für dich umgeschrieben) einzeln auf der Konsole 
einzugeben. Dann kannst du verstehen, was die tun. Durch anklicken von "ich 
will dass alles geblockt wird" versteht man ja nicht mehr als vorher.


> Ich wollte Virtuelle Maschinen aufsetzen und da ein wenig rumspielen, auch
>  mit angriffen gegeneinander

Okay, das ist dann netzwerktechnisch ein LAN, in dem eine Firewall durchaus 
Sinn macht.


> > Bei einem Linux-System läuft es immer auf iptables/netfilter hinaus. Egal
> >  wie die Firewall heißt, letztlich erstellt und verwaltet eine Oberfläche
> >  immer iptables-Regeln.
> Aha, was sind den netfilter?
> Welche Oberflächen gibt es den so oder ist da kmyfirewall gemeint?

Netfilter ist das Projekt, das iptables erstellt hat. Es ist der interne Name 
für das was auf der Konsole "iptables" heißt.
Siehe: http://de.wikipedia.org/wiki/Netfilter


> mir geht es da ein bißchen um das einlesen bzw. um zu sehen, wie andere
> Regelwerke so vorgehen...

Es gibt eine Menge Websites, die irgendwelche iptables-Regelsätze für diverse 
Anwendungen veröffentlichen. Es macht Sinn, sich dort ein paar herauszunehmen, 
mittels Dokumentation zu schauen was die Regeln eigentlich machen und daraus 
zu lernen.

Gruß, Bernd

-- 
Früher, wenn man da Luft im Schädel hatte, da kam man in eine Anstalt.
Heute kommt man ins Fernsehen und darf der ganzen Welt mitteilen,
warum das unglaublich geil ist, Luft im Schädel zu haben. Und am
nächsten Tag wollen sich alle den Kopf aufpumpen und überall sind die
Luftpumpen ausverkauft.  -  Dieter Nuhr (dt. Comedian)

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 836 bytes --]