Zugriff nach aussen mit der SuSE-Firewall unterbinden
Hallo ML, Ich muss ein Testsystem aufsetzen, auf das externe Projektpartner von aussen Zugriff haben. Anmeldung geschieht per ssh und Schlüsselpäärchen. Ich würde den externen gerne unterbinden, in unserem Netz rumzuschnüffeln. Deshalb möchte ich gerne den Zugriff auf alle IP's unseres Netzes ausser dem NS und den GW unterbinden. Dazu müsset die SuSE-FW ja in der Lage sein. Fragen: 1. Geht das noch mit yast oder muss ich mich da mit iptables rumschlagen ? 2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder die Regeln definiert sind ? Vielen Dank. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de 089 3187 1241 http://www.helmholtz-muenchen.de/idg Success is the sum of small efforts, repeated day in and day out. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 20.01.2010, Lentes, Bernd wrote:
1. Geht das noch mit yast oder muss ich mich da mit iptables rumschlagen ?
Keine Ahnung, habe yast so gut wie nie benutzt.
2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder die Regeln definiert sind ?
Keine Ahnung, ich habe kein SLES. Mittels "iptables -nv -L" kannst du dir die einzelnen chains anzeigen lassen. Je nachdem von welcher Seite des Servers du ausgehst, kannst du entweder einzelne IPs oder ganze Netbloecke sperren. Ein sehr brauchbares und "iptables-Neulinge-taugliche" Tutorial findest du hier. http://www.teamunix.de/howto/iptableshowto.php -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin Bernd,
Ich muss ein Testsystem aufsetzen, auf das externe Projektpartner von aussen Zugriff haben. Anmeldung geschieht per ssh und Schlüsselpäärchen. Ich würde den externen gerne unterbinden, in unserem Netz rumzuschnüffeln. Deshalb möchte ich gerne den Zugriff auf alle IP's unseres Netzes ausser dem NS und den GW unterbinden. Dazu müsset die SuSE-FW ja in der Lage sein. Fragen: 1. Geht das noch mit yast oder muss ich mich da mit iptables rumschlagen ?
Du kannst auch iptables direkt nutzen, geht schneller und auch etwas einfacher. :-)
2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder die Regeln definiert sind ?
Ich habe mit folgendem Szenario getestet: 192.168.1.1 - Router / Gateway (frei) 192.168.1.2 - interner Rechner (gesperrt) 192.168.1.3 - interner Rechner (frei) 192.168.1.4 - interner Rechner (gesperrt) 192.168.1.5 - restriktiver Rechner (SSH-User dürfen internes Netz (Intranet) nicht besuchen, aber externes Netz (Internet) ist erlaubt) ;-) # iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT # iptables -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255 -j DROP Zuerst definiere ich die erlaubten IPs, danach knalle ich eine komplette IP-Reihe in iptables rein, wo die User nix zu suchen haben. (Heinz hat ja eine Doku per Link geschickt, aber leider wird nicht auf die IP-Range eingegangen) Wahlweise kann man auch bei den o.g. freien IPs nur bestimmte Ports freischalten und die restlichen Ports sperren. # iptables -nv -L Kannst du sämtliche Regeln einer Chain auflisten lassen. (Heinz hat schon dazu was gesagt) Die Regel kannst du auch ziemlich simple löschen: # iptables -D OUTPUT 3 Hier löschst du die 3. Regel in der Kategorie OUTPUT. So klappt es bei mir. Mag sein, dass es eine nicht so grasse Methode gibt, aber wenigstens bin ich so auf der sicheren Seite. Man möge mich korrigieren, wenn es eine bessere Methode gibt bzw. ich falsch liegen könnte. ;-) -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: Sebastian Siebert [mailto:freespacer@gmx.de] Gesendet: Mittwoch, 20. Januar 2010 16:32 An: opensuse-de@opensuse.org Betreff: Re: Zugriff nach aussen mit der SuSE-Firewall unterbinden
Hallo Sebastian,
Du kannst auch iptables direkt nutzen, geht schneller und auch etwas einfacher. :-)
2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder die Regeln definiert sind ?
SLES 10 ist ja weitgehend identisch mit OpenSuSE 10.1. Bei einem System, auf dem ich bisher nur Regeln per yast erstellt habe, kann ich mir diese ja mit iptables -L anschauen. Wo sind die denn hinterlegt ? Nur in /etc/sysconfig/SuSEfirewall2 ? Es wäre ja sinnvoll, meine eigenen Regeln im gleichen Ort abzulegen, dann ist alles an einer Stelle. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mit, 20 Jan 2010, Sebastian Siebert schrieb:
# iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT # iptables -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255 -j DROP
1. DROP sollte man möglichst nicht verwenden. 2. das geht auch einfacher: # iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT # iptables -A OUTPUT -d 192.168.0.0/16 -j REJECT evtl. vor der REJECT Regel noch: # iptables -A OUTPUT -d 192.168.0.0/16 -p tcp -j REJECT --reject-with tcp-reset HTH, -dnh -- We all know Linux is great... it does infinite loops in 5 seconds. -- Linus Torvalds -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller schrieb:
Hallo,
Am Mit, 20 Jan 2010, Sebastian Siebert schrieb:
# iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT # iptables -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255 -j DROP
1. DROP sollte man möglichst nicht verwenden.
2. das geht auch einfacher:
# iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT # iptables -A OUTPUT -d 192.168.0.0/16 -j REJECT
evtl. vor der REJECT Regel noch:
# iptables -A OUTPUT -d 192.168.0.0/16 -p tcp -j REJECT --reject-with tcp-reset
HTH, -dnh
Hi, warum sollte man drop nicht verwenden? IMHO ist es doch vielleicht manchmal nicht falsch, unerwünschte Pakete ohne Info an den Versender einfach verschwinden zu lassen? cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Don, 21 Jan 2010, Joerg Thuemmler schrieb:
David Haller schrieb: [iptables]
1. DROP sollte man möglichst nicht verwenden. [..] warum sollte man drop nicht verwenden? IMHO ist es doch vielleicht manchmal nicht falsch, unerwünschte Pakete ohne Info an den Versender einfach verschwinden zu lassen?
Du sagst es schon selber: "vielleicht manchmal"! Grund: wenn die Pakete einfach "verschwinden" versucht es der Absender mind. einige Male wieder bis er aufgibt! Bei Windowsbüchsen kann das sehr oft sein. Kurz: in der Regel sollte man REJECT [--reject-with { tcp-reset | icmp-port-unreachable | icmp-proto-unreachable } ] verwenden und nur gezielt und "zur Not" auf DROP zurückgreifen. -dnh -- Wenn hier einer auf dem Monitor schnarcht, dann ist es $KATER. Recovery ist, wenn er langsam vom Monitor herunterrutscht und dann dumm guckt, wenn er mal wieder mit einem *PLUMPS* auf der Tastatur landet. -- Marc Haber -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller schrieb:
Hallo,
Am Don, 21 Jan 2010, Joerg Thuemmler schrieb:
David Haller schrieb: [iptables]
1. DROP sollte man möglichst nicht verwenden. [..] warum sollte man drop nicht verwenden? IMHO ist es doch vielleicht manchmal nicht falsch, unerwünschte Pakete ohne Info an den Versender einfach verschwinden zu lassen?
Du sagst es schon selber: "vielleicht manchmal"! Grund: wenn die Pakete einfach "verschwinden" versucht es der Absender mind. einige Male wieder bis er aufgibt! Bei Windowsbüchsen kann das sehr oft sein.
Kurz: in der Regel sollte man REJECT [--reject-with { tcp-reset | icmp-port-unreachable | icmp-proto-unreachable } ] verwenden und nur gezielt und "zur Not" auf DROP zurückgreifen.
-dnh
Hi, O.K. im Grunde sehe ich es auch so. Im LAN bin ich auch gesprächiger, unzulässige Pakete von außen droppe ich aber gnadenlos. cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 20.01.2010, Sebastian Siebert wrote:
Zuerst definiere ich die erlaubten IPs, danach knalle ich eine komplette IP-Reihe in iptables rein, wo die User nix zu suchen haben. (Heinz hat ja eine Doku per Link geschickt, aber leider wird nicht auf die IP-Range eingegangen)
Die brauchst du beim Sperren eines Netblocks nicht, du kannst einfach das gesamte Subnet ansprechen, z.B. -s (oder -d, je nach Zweck und Richtung) 192.168.0.0/16 Damit werden alle Adressen aus dem 192.168.x.x Netblock angesprochen. Siehe "man iptables". -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo ML,
Ich muss ein Testsystem aufsetzen, auf das externe Projektpartner von ausse= n Zugriff haben. Anmeldung geschieht per ssh und Schl=FCsselp=E4=E4rchen. Ich w=FCrde den externen gerne unterbinden, in unserem Netz rumzuschn=FCffe= ln. Deshalb m=F6chte ich gerne den Zugriff auf alle IP's unseres Netzes aus= ser dem NS und den GW unterbinden. Dazu m=FCsset die SuSE-FW ja in der Lage= sein. Fragen:=20 1. Geht das noch mit yast oder muss ich mich da mit iptables rumschlagen ? 2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder di= e Regeln definiert sind ?
Vielen Dank.
Bernd
Hallo Bernd, ich habe auch kein SLES, konnte aber bisher alle FW Notwendigkeiten durch Bearbeiten von /etc/sysconfig/Susefirewall2 regeln (allerdings nicht mit yast) Sollte eventuell der Zugriff auf externe IPs (ausser dem gerade aktiven ssh channel) auch blockiert werden - die Projektpartner haben sicher ihren eigenen Zugang ... Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: hamann.w@t-online.de [mailto:hamann.w@t-online.de] Gesendet: Mittwoch, 20. Januar 2010 17:41 An: opensuse-de@opensuse.org Betreff: Re: Zugriff nach aussen mit der SuSE-Firewall unterbinden
ich habe auch kein SLES, konnte aber bisher alle FW Notwendigkeiten durch Bearbeiten von /etc/sysconfig/Susefirewall2 regeln (allerdings nicht mit yast)
Hallo Wolfgang, Heisst das, das die per yast erstellten Regeln hier abgespeichert sind ? Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Wolfgang,
Heisst das, das die per yast erstellten Regeln hier abgespeichert sind ?
Bernd
Ja, da wird z.B. in yast der externen Zone das Interface dsl0 zugeordnet, und in /etc/sysconfig/Susefirewall2 steht dann FW_DEV_EXT="dsl0" Zu etlichen der Variablen gibt es dann in yast eben keine Einstellung, dafür sind die einzelnen Angaben gut erklärt Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: hamann.w@t-online.de [mailto:hamann.w@t-online.de] Gesendet: Mittwoch, 20. Januar 2010 22:44 An: opensuse-de@opensuse.org Betreff: Re: AW: Zugriff nach aussen mit der SuSE-Firewall unterbinden
Hallo Wolfgang,
Heisst das, das die per yast erstellten Regeln hier abgespeichert sind ?
Bernd
Ja,
da wird z.B. in yast der externen Zone das Interface dsl0 zugeordnet, und in /etc/sysconfig/Susefirewall2 steht dann
FW_DEV_EXT="dsl0"
Zu etlichen der Variablen gibt es dann in yast eben keine Einstellung, dafür sind die einzelnen Angaben gut erklärt
O.k. Danke für die Info. Sollte ich die SuSE-FW mittels iptables um eigene Regeln erweitern, wo würdest Du diese dann ablegen ? Und wie starte ich diese, mittels eines initscripts ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Don, 21 Jan 2010, Lentes, Bernd schrieb:
O.k. Danke für die Info. Sollte ich die SuSE-FW mittels iptables um eigene Regeln erweitern, wo würdest Du diese dann ablegen ?
==== /etc/sysconfig/SuSEfirewall2 ==== ## Type: string # # 25.) # Do you want to load customary rules from a file? # # This is really an expert option. NO HELP WILL BE GIVEN FOR THIS! # READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom # #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES="" ==== ==== /sbin/SuSEfirewall2 ==== # Provide empty functions for transparent hook support for customised rules fw_custom_after_chain_creation() { true; } fw_custom_before_antispoofing() { true; } fw_custom_after_antispoofing() { true; } fw_custom_before_port_handling() { true; } fw_custom_before_masq() { true; } fw_custom_before_denyall() { true; } ==== In deinem "custom" rules script fügst du deine Regeln in die entsprechenden Funktionen ein und kannst dich so an den verschiedenen Stellen in die Regelerzeugung durch SuSEfirewall2 einklinken. HTH, -dnh -- "I stopped at Land's End, because to go any further would have been Scilly." -- Robert Billing -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
David Haller
-
hamann.w@t-online.de
-
Heinz Diehl
-
Joerg Thuemmler
-
Lentes, Bernd
-
Sebastian Siebert