Re: Server in DMZ bestimmte ports trotzdem mit iptables blocken?
Fred Ockert schrieb:
komische Frage ! .. ich dachte besher - genau das ist der Sinn der DMZ ! Alles so regeln, dass (von der Sache her) die DMZ von innen erreichbar ist und ausgewählte Ports auch von aussen..., wobei man nach innen auch sperren kann (wenn es Sinnn macht)
Insofern versteh' ich die Frage nicht... welche Firewall-Philosophie hast du denn ? die optimistische oder die pessimistische? gilt für innen + aussen (sind als 2 Fragen)
Fred nur mal zum Verstaendnis.. evtl. verhau ich mich da ja total. Also ich habe Dienste auf dem Rechner die ich nur vom Internet aus erreichen will und vim internen Netzwerk. Soweit so gut. Dienste die angeboten werden sollten alle von aussen erreichbar sein. Den Port den ich blocken will ist ein listening Port fuer einen Telnet Zugang. Den will ich nicht unbedingt draussen haben, deshalb auch die Idee/Theorie eben nur diesen Port zu sperren :) Mit Linux ist doch alles moeglich oder? ;)
Gruesse -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
lists, Donnerstag, 4. September 2008 00:15:
Also ich habe Dienste auf dem Rechner die ich nur vom Internet aus erreichen will und vim internen Netzwerk.
Also von überall aus.
Den Port den ich blocken will ist ein listening Port fuer einen Telnet Zugang.
Dann schalt telnet doch einfach ab...? Nimmt man sowieso heutzutage nicht mehr. Nimm ssh. Funktioniert genausogut, und kann noch mehr.
Den will ich nicht unbedingt draussen haben, deshalb auch die Idee/Theorie eben nur diesen Port zu sperren :) Mit Linux ist doch alles moeglich oder? ;)
Bevor Du mit einer Firewall einen offenen Port schließt, sorge lieber dafür, daß der Port gar nicht erst offen ist, bzw. sorge über die hosts.allos/deny dafür, daß zumindest nicht mit jedem gesprochen wird, sonder nur mit Leuten, die aus dem LAN kommen. Aber hinsichtlich telnet: es ist wirklich eine gute Idee, telnet nicht zu nutzen. Nimm ssh. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
lists, Donnerstag, 4. September 2008 00:15:
Also ich habe Dienste auf dem Rechner die ich nur vom Internet aus erreichen will und vim internen Netzwerk.
Also von überall aus.
Den Port den ich blocken will ist ein listening Port fuer einen Telnet Zugang.
Dann schalt telnet doch einfach ab...? Nimmt man sowieso heutzutage nicht mehr. Nimm ssh. Funktioniert genausogut, und kann noch mehr.
Den will ich nicht unbedingt draussen haben, deshalb auch die Idee/Theorie eben nur diesen Port zu sperren :) Mit Linux ist doch alles moeglich oder? ;)
Bevor Du mit einer Firewall einen offenen Port schließt, sorge lieber dafür, daß der Port gar nicht erst offen ist, bzw. sorge über die hosts.allos/deny dafür, daß zumindest nicht mit jedem gesprochen wird, sonder nur mit Leuten, die aus dem LAN kommen.
Aber hinsichtlich telnet: es ist wirklich eine gute Idee, telnet nicht zu nutzen. Nimm ssh.
Also das waere auch der Plan gewesen. SSH -> Telnet zum Tool. Leider laesst sich das so nicht realisieren, wenn das Teil nur lokal lauscht funktioniert es nicht mehr so wie gewuenscht, wenn es allerdings nirgends lauscht kann ichs nicht mehr bedienen. Ich muesste dann jedesmal per SSH auf den Rechner config aendern, neustart des Dienstes und dann meine Einstellungen machen und dann config wieder aendern... erscheint mir relativ sinnfrei :D -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
lists schrieb:
Fred Ockert schrieb:
komische Frage ! .. ich dachte besher - genau das ist der Sinn der DMZ ! Alles so regeln, dass (von der Sache her) die DMZ von innen erreichbar ist und ausgewählte Ports auch von aussen..., wobei man nach innen auch sperren kann (wenn es Sinnn macht)
Insofern versteh' ich die Frage nicht... welche Firewall-Philosophie hast du denn ? die optimistische oder die pessimistische? gilt für innen + aussen (sind als 2 Fragen)
Fred nur mal zum Verstaendnis.. evtl. verhau ich mich da ja total. Also ich habe Dienste auf dem Rechner die ich nur vom Internet aus erreichen will und vim internen Netzwerk. Soweit so gut. Dienste die angeboten werden sollten alle von aussen erreichbar sein. Den Port den ich blocken will ist ein listening Port fuer einen Telnet Zugang. Den will ich nicht unbedingt draussen haben, deshalb auch die Idee/Theorie eben nur diesen Port zu sperren :) Mit Linux ist doch alles moeglich oder? ;)
na ja ..nix ist falsch ;-) .. die DMZ liegt per Definition zwischen der inneren und der äusseren Firewall...stehen beliebig viele Maschinen Dann kennt man noch den Bastionhost ..der hat 2 Firewalls und idealerweise 2 Netzwerkkarten wenn dein Netz nur eine WS hat, ist alles simpel... Der (Eingangs)DSL-Router forwarded port 80 auf webserver:80 forwarded port 25 auf smtp:25 forwarded port 143 auf imap:143 forwarded port 12345 auf ssh:22 (dann steckt ggfs ein zweiter Router dahinter - wo dein Netz dransteckt) hast du nur eine (!) WS ..tut es auch die (WS)Firewall. da die innere Firewall (theoretisch) alles raus und nix rein lässt kannst du also auf webserver, smtp ... zugreifen kommst du von ganz draussen landest du auch auf webserver, imap ... oder... du musst also nur noch die richtigen IP Nummern auswählen und die richtigen Namen dazu verwenden ( erst mal von innen andere als von aussen...) ... und der/die Rechner in der DMZ kommen jederzeit nach aussen, aber nicht nach innen (kann man auch machen.. aber erst später!) webserver, smtp,imap,ssh..usw. stehen stellvertretend für die Rechner, auf denen dieser Dienst läuft! kann auch immer der gleiche Rechner sein..wie du willst!
Gruesse
wo ist jetzt das Problem ? .. jeder DSL-Router kennt Portforwarding ( frag mich nicht- unter welchem Namen :-)) wird ja z.T. für Spiele gebraucht... und du lässt nur die Dienste rein, die du brauchst .. wenn du telnet ( Port 21..23 ?) nicht forwardest, lässt in die DSL-Routerfirewall nicht rein ..gut is.. wählst von aussen port 12345 an ... landest du auf dem Rechner mit der IP-Nummer ssh auf Port 22 ! (da wo er normal lauscht..) so..und wo kommt jetzt das eigentliche Problem ? Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Fred Ockert schrieb:
lists schrieb:
Fred Ockert schrieb:
komische Frage ! .. ich dachte besher - genau das ist der Sinn der DMZ ! Alles so regeln, dass (von der Sache her) die DMZ von innen erreichbar ist und ausgewählte Ports auch von aussen..., wobei man nach innen auch sperren kann (wenn es Sinnn macht)
Insofern versteh' ich die Frage nicht... welche Firewall-Philosophie hast du denn ? die optimistische oder die pessimistische? gilt für innen + aussen (sind als 2 Fragen)
Fred nur mal zum Verstaendnis.. evtl. verhau ich mich da ja total. Also ich habe Dienste auf dem Rechner die ich nur vom Internet aus erreichen will und vim internen Netzwerk. Soweit so gut. Dienste die angeboten werden sollten alle von aussen erreichbar sein. Den Port den ich blocken will ist ein listening Port fuer einen Telnet Zugang. Den will ich nicht unbedingt draussen haben, deshalb auch die Idee/Theorie eben nur diesen Port zu sperren :) Mit Linux ist doch alles moeglich oder? ;)
na ja ..nix ist falsch ;-) .. die DMZ liegt per Definition zwischen der inneren und der äusseren Firewall...stehen beliebig viele Maschinen Dann kennt man noch den Bastionhost ..der hat 2 Firewalls und idealerweise 2 Netzwerkkarten
wenn dein Netz nur eine WS hat, ist alles simpel...
Der (Eingangs)DSL-Router forwarded port 80 auf webserver:80 forwarded port 25 auf smtp:25 forwarded port 143 auf imap:143 forwarded port 12345 auf ssh:22 (dann steckt ggfs ein zweiter Router dahinter - wo dein Netz dransteckt) hast du nur eine (!) WS ..tut es auch die (WS)Firewall.
da die innere Firewall (theoretisch) alles raus und nix rein lässt kannst du also auf webserver, smtp ... zugreifen kommst du von ganz draussen landest du auch auf webserver, imap ... oder...
du musst also nur noch die richtigen IP Nummern auswählen und die richtigen Namen dazu verwenden ( erst mal von innen andere als von aussen...) ... und der/die Rechner in der DMZ kommen jederzeit nach aussen, aber nicht nach innen (kann man auch machen.. aber erst später!) webserver, smtp,imap,ssh..usw. stehen stellvertretend für die Rechner, auf denen dieser Dienst läuft! kann auch immer der gleiche Rechner sein..wie du willst!
Gruesse
wo ist jetzt das Problem ? .. jeder DSL-Router kennt Portforwarding ( frag mich nicht- unter welchem Namen :-)) wird ja z.T. für Spiele gebraucht... und du lässt nur die Dienste rein, die du brauchst .. wenn du telnet ( Port 21..23 ?) nicht forwardest, lässt in die DSL-Routerfirewall nicht rein ..gut is.. wählst von aussen port 12345 an ... landest du auf dem Rechner mit der IP-Nummer ssh auf Port 22 ! (da wo er normal lauscht..)
so..und wo kommt jetzt das eigentliche Problem ?
Fred Hallo,
ja das ist mir klar mit dem Portforwarding :) Es ist bisher ja auch alles nur reine Theorie. Wie ich weiter oben schon geschrieben habe es waere wohl am sinnvollsten einfach das ganze mit Portforwarding zu realisieren. DMZ von meinem Router wuerde ich durchaus als die Billig-Loesung sehen :) Nix mit extra Port, ich kann nur die interne IP eintippen welche als default DMZ Server genutzt wird, dieser Rechner steht dann vor der Firewall... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Andre Tann -
Fred Ockert -
lists