Hallo Jörg, danke für die Antwort. Genau das ist ja mein Problem. Bisher habe ich es genau so gemacht (über Yast-Firewall).
1. Schnittstellen: Netzwerkkarte korrekt der Externen Zone zuordnen 2. Erlaubte Dienste: nur das, was unbedingt nötig ist, auswählen 3. Firewall starten und fertig!
Doch dann kann der Rechner von überall her per ssh erreicht werden. Er soll aber nur innerhalb des eigenen Subnetzes erreicht werden (keine Privaten IPs!). Ich hab nun erst einmal folgendes gemacht: Da auf https://en.opensuse.org/SuSEfirewall2 steht: "Please note, the current YaST_Firewall does not show nor let you configure all settings of the firewall. This includes at least reject configuration (at least one activated by default)." habe ich mir /etc/sysconfig/SuSEfirewall2 bzw. wie dort beschrieben /usr/share/doc/packages/SuSEfirewall2/EXAMPLES Dort wird auf den Eintrag "FW_TRUSTED_NETS" verwiesen. Ich habe bei mir deshalb FW_TRUSTED_NETS="XXX.XXX.XXX.XXX/24,tcp,22" (XXX.XXX.XXX.XXX/24 = mein Subnetz) eingetragen. Das scheint doch genau das zu sein, wonach ich gesucht habe? Oder? Wäre nett, wenn jemand mal kurz drüber schauen könnte, ob ich jetzt keinen Fehler gemacht habe. Danke!! Viele Grüße Klaus Am 15.10.2014 um 08:01 schrieb Joerg Thuemmler:
Hi,
Port 22 von außen sperren? Ich habe keine SuSE-FW, sondern ein eigenes iptables-script, aber
/usr/sbin/iptables -A INPUT --dport 22 ! -s 192.168.0.0/16 -j DROP
sollte sämtliche von außen kommenden Zugriffe auf die ssh stoppen, wenn man mal annimmt, dass ssh bei Dir auf dem Standard-Port 22 läuft und Dein lokales Netz 192.168.0.xxx hat
Andererseits: sollte Deine FW nicht andersrum konfiguriert sein - also:
1. Alles, was von draußen kommt, ist verboten 2. Ausgenommen davon sind die folgenden Services (z.B. httpd)
Bei mir würde das bei der SuSE-FW-Konfig (Yast2) bedeuten:
1. Schnittstellen: Netzwerkkarte korrekt der Externen Zone zuordnen 2. Erlaubte Dienste: nur das, was unbedingt nötig ist, auswählen 3. Firewall starten und fertig!
Du brauchst dazu natürlich neben dem Suse-FW-Paket auch das yast2-firewall-Paket.
cu jth
Am 14.10.2014 18:37, schrieb Klaus Becker:
Hallo,
hat jemand eine Idee, wie genau ich die Suse-Firewall so konfigurieren kann, dass man über SSH nur innerhalb des eigenen Subnetzes zugreifen kann? Meine Rechner haben leider eine IP, die von aussen zugänglich ist und eine weitere Firwall lässt SSH leider durch.
Oder wäre der hosts.allow/hosts.deny-Mechanismus eher geeignet? Eigentlich sollten Login-Versuche so früh wie möglich geblockt werden.
Fail2ban habe ich bereits laufen, doch greift mir das etwas zu spät ein.
Vielen Dank für jeden Hinweis Klaus
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org