Firewall selbst bauen mit iptables
Hallo Liste. Nachdem jetzt einige Versuche schiefgegangen sind, mit Hilfe von Yast der SuSE-FW2 das gewünschte Verhalten beizubringen[1], möchte ich mir jetzt selbst eine Firewall bauen. Hierzu habe ich zwei (bzw. zweieinhalb) Fragen: 1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen die Policy zuerst auf DROP stelle, und dann nach und nach die Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen? 2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim Starten des Systems keine Lücke entsteht, und die Regeln zum frühestmöglichen Zeitpunkt wirksam werden. Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und auch einiges gefunden, aber vielleicht weiß jemand etwas, das besonders zu empfehlen ist. Danke! -- Andre Tann
auch ganz brauchbar: <http://www.shorewall.net> und webmin hat auch module dafzer wenn man die config files nicht besonders mag. cheers.
Hallo, also ich habe mir bis jetzt immer selbst ein Script geschrieben. Weil nur so weiß ich (hoffe ich) was die Firewall macht. Wenn Du auf alle Tabellen DROP setzt, dann mußt Du auch in mehreren Tabellen den Port freigeben. Ein Eintrag zum Weiterleiten in der FORWARD-Tabelle reicht dann bei Verwendung von SNAT nicht mehr aus. Ich glaube die nat->POSTROUTING-Tabelle braucht dann noch einen Eintrag. Es ist "sicherer" macht aber auch mehr Arbeit. Ich kann Dir das Buch "Linux Firewalls - Second Edition" von Bob Ziegler/New Riders empfehlen (ISBN 0-7375-1099-6 WG). Allerdings ist das Buch in englisch. Deutsche Bücher zu dem Thema kann ich bisher nicht empfehlen, da diese nicht so tief auf das Thema eingehen und es meiner Meinung nach auch nicht so gut erklären. TCP/IP,UDP und icmp werden zwar auch nochmal gut erklärt. Gute Kenntnisse sind aber von Vorteil. Um das in den Boot-Prozeß mit einzubinden habe ich einfach eine andere Startdatei kopiert und diese dann angepasst. Ok, ich weiß es geht glaube ich auch einfacher, aber es funktioniert. Diese Start-Datei ruft dann einfach die entsprechenden Firewall-Scripte auf. Ich weiß ja nicht was Du an Arbeit so einplanst, aber an meinem aktuelle Script habe ich gut 1 Monat geschrieben. Andre Tann <atann@gmx.net> schrieb am 29.05.2006 16:27:27:
Hallo Liste.
Nachdem jetzt einige Versuche schiefgegangen sind, mit Hilfe von Yast der SuSE-FW2 das gewünschte Verhalten beizubringen[1], möchte ich mir jetzt selbst eine Firewall bauen. Hierzu habe ich zwei (bzw. zweieinhalb) Fragen:
1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen die Policy zuerst auf DROP stelle, und dann nach und nach die Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen?
2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim Starten des Systems keine Lücke entsteht, und die Regeln zum frühestmöglichen Zeitpunkt wirksam werden.
Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und auch einiges gefunden, aber vielleicht weiß jemand etwas, das besonders zu empfehlen ist.
Danke!
-- Andre Tann
Mit freundlichen Grüßen Andreas Gegner
m Mo 29.05.2006 16:27 schrieb Andre Tann <atann@gmx.net>:
Hallo Liste.
1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen die Policy zuerst auf DROP stelle, und dann nach und nach die Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen?
Wenn du die Default-Policy meinst, so birgt das kein Sicherheitsrisiko, da für alles was du nicht definiert hast diese Regel greift.
2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim Starten des Systems keine Lücke entsteht, und die Regeln zum frühestmöglichen Zeitpunkt wirksam werden.
Wichtig ist das du Firewall aktivierst bevor das Netzwerk gestartet wird. Am besten schreibst du ein Script wo alle Regeln definiert wurde. Dies kopierst du in das Verzeichnis /etc/init.d Beispiel: Am bestellen erst mal ein ls auf /etc/rc.d/rcX.d/ machen. Dort nachschauen welche Startnummer deine Netzwerkverbindung halt z.B. bei Suse 10.1 S05network cp meineFirewall /etc/init.d/ chmod 755 /etc/init.d/meineFirewall cd /etc/rc.d/rc5.d ln -s /etc/init.d/meineFirewall S04meineFirewall Das gilt nun aber auch nur für Runlevel 5 wenn du kein X nutzt so solltest du es auch für Runlevel 3 einrichten. Rechner Neu starten und habe fertig.
Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und auch einiges gefunden, aber vielleicht weiß jemand etwas, das besonders zu empfehlen ist.
Als Buch in deutsch kann ich dir "Linux-Firewalls it iptables & Co" empfehlen. Autor Ralf Spenneberg Verlag Addison-Wesley ISBN 3-8273-2136-0 MfG Martin
Hallo, On 29-May-2006 Martin Reczio wrote:
Das gilt nun aber auch nur für Runlevel 5 wenn du kein X nutzt so solltest du es auch für Runlevel 3 einrichten.
Du meinst, wenn er nicht mit der GUI startet, sondern mit der Konsole und dann von dort erst X. Aus Sicherheitsgruenden (weil man nie weiss), wuerde ich sicherheitsrelevante Dinge _nie_ ausschliesslich im Runlevel 5, sondern ebenfalls im Runlevel 3 starten. Der zusaetzliche Aufwand ist zudem auch noch minimal. Beste Gruesse, Heinz. -- Reisefuehrer Bulgarien u.a: http://www.erlebnis-bulgarien.de Reiseberichte Osteuropa: http://www.pahlke-online.de Barrierefreies Webdesign: http://www.Pahlke-KunstWebDesign.de
Am Monday 29 May 2006 16:27 schrieb Andre Tann:
Hallo Liste.
Nachdem jetzt einige Versuche schiefgegangen sind, mit Hilfe von Yast der SuSE-FW2 das gewünschte Verhalten beizubringen[1], möchte ich mir jetzt selbst eine Firewall bauen. Hierzu habe ich zwei (bzw. zweieinhalb) Fragen:
1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen die Policy zuerst auf DROP stelle, und dann nach und nach die Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen?
2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim Starten des Systems keine Lücke entsteht, und die Regeln zum frühestmöglichen Zeitpunkt wirksam werden.
Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und auch einiges gefunden, aber vielleicht weiß jemand etwas, das besonders zu empfehlen ist.
Danke!
-- Andre Tann
ich stimme den anderen voll und ganz zu, von webmin-shorewall und eigenen iptables-regeln bis zu fwbuilder hat alles seine Vorteile - je nach dem für was du's brauchst, Eine Sache würde ich noch hinzufügen: Die SuSEFirewall custom rules files. (siehe /etc/sysconfig/SuSEfirewall2 und such mal nach custom) Damit kann auch die SuSE Firewall ein externes script einbinden, mit dem du (fast) genau so flexibel bist wie mit einem eigenen Regelwerk. Da musst du dann allerdings etwas tricksen, wegen der SuSEFW Eigenheiten. z.B: SuSE FW kann ja nicht so gut maskieren wie iptables selbst, also: schalten wir masquerading aus und dann nur für die gewünschten Adress/Port Kombinationen in unserem Custom File an. M.E geht das nicht mit SuSE FW selbst. - zumindest nicht bis zur 9.3. Zur SuSE FW gibts bei Sourceforge ein gutes und umfangreiches (aktuelles?) Doku-skript-PDF. :-) -- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Coming out soon: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks =======================================
Am Tuesday 30 May 2006 15:43 schrieb Martin Reczio:
Zur SuSE FW gibts bei Sourceforge ein gutes und umfangreiches (aktuelles?) Doku-skript-PDF.
:-)
--
Wo bzw. finde ich das Dok? Poste mal bitte das Link
Danke Naja, das ist doch schon recht alt - aber zum Grundverständnis vielleicht immer noch hilfreich: http://sourceforge.net/project/showfiles.php?group_id=42064&release_id=127876
Werden die Dokumente hier nicht mehr gepflegt, SuSE-Novellis? Gibt es offizielle Alternativen? Meldet euch einfach bei Bedarf bei mir ... :-) -- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Out now: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks ======================================= -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (6)
-
age@ifak-system.com
-
Andre Tann
-
Andreas Bittner
-
Heinz W. Pahlke
-
Markus Feilner
-
Martin Reczio