Am 14.10.2014 18:37, schrieb Klaus Becker:
Hallo,
hat jemand eine Idee, wie genau ich die Suse-Firewall so konfigurieren kann, dass man über SSH nur innerhalb des eigenen Subnetzes zugreifen kann? Meine Rechner haben leider eine IP, die von aussen zugänglich ist und eine weitere Firwall lässt SSH leider durch.
Oder wäre der hosts.allow/hosts.deny-Mechanismus eher geeignet? Eigentlich sollten Login-Versuche so früh wie möglich geblockt werden.
Fail2ban habe ich bereits laufen, doch greift mir das etwas zu spät ein.
Vielen Dank für jeden Hinweis Klaus
Am 15.10.2014 um 08:01 schrieb Joerg Thuemmler:
Hi,
Port 22 von außen sperren? Ich habe keine SuSE-FW, sondern ein eigenes iptables-script, aber
/usr/sbin/iptables -A INPUT --dport 22 ! -s 192.168.0.0/16 -j DROP
sollte sämtliche von außen kommenden Zugriffe auf die ssh stoppen, wenn man mal annimmt, dass ssh bei Dir auf dem Standard-Port 22 läuft und Dein lokales Netz 192.168.0.xxx hat
Andererseits: sollte Deine FW nicht andersrum konfiguriert sein - also:
1. Alles, was von draußen kommt, ist verboten 2. Ausgenommen davon sind die folgenden Services (z.B. httpd)
Bei mir würde das bei der SuSE-FW-Konfig (Yast2) bedeuten:
1. Schnittstellen: Netzwerkkarte korrekt der Externen Zone zuordnen 2. Erlaubte Dienste: nur das, was unbedingt nötig ist, auswählen 3. Firewall starten und fertig!
Du brauchst dazu natürlich neben dem Suse-FW-Paket auch das yast2-firewall-Paket.
cu jth
Am 15.10.2014 10:41, schrieb Klaus Becker:
Hallo Jörg,
danke für die Antwort.
Genau das ist ja mein Problem. Bisher habe ich es genau so gemacht (über Yast-Firewall).
1. Schnittstellen: Netzwerkkarte korrekt der Externen Zone zuordnen 2. Erlaubte Dienste: nur das, was unbedingt nötig ist, auswählen 3. Firewall starten und fertig!
Doch dann kann der Rechner von überall her per ssh erreicht werden. Er soll aber nur innerhalb des eigenen Subnetzes erreicht werden (keine Privaten IPs!).
Ich hab nun erst einmal folgendes gemacht:
Da auf https://en.opensuse.org/SuSEfirewall2 steht:
"Please note, the current YaST_Firewall does not show nor let you configure all settings of the firewall. This includes at least reject configuration (at least one activated by default)."
habe ich mir /etc/sysconfig/SuSEfirewall2 bzw. wie dort beschrieben /usr/share/doc/packages/SuSEfirewall2/EXAMPLES
Dort wird auf den Eintrag "FW_TRUSTED_NETS" verwiesen. Ich habe bei mir deshalb
FW_TRUSTED_NETS="XXX.XXX.XXX.XXX/24,tcp,22" (XXX.XXX.XXX.XXX/24 = mein Subnetz)
eingetragen.
Das scheint doch genau das zu sein, wonach ich gesucht habe? Oder?
Wäre nett, wenn jemand mal kurz drüber schauen könnte, ob ich jetzt keinen Fehler gemacht habe. Danke!!
Viele Grüße Klaus
Hi, bitte unten unter dem Zitat antworten (->Nettikette) sorry, bin zu sehr vom 2-Netzwerkkarten-Modell ausgegangen (eine ins externe, eine ins interne Netz, im internen haben die PCs bei mir keine eigene FW, bzw. die Windoofs diese mitgelieferte...) ja, dann sollte das obige wohl passen (eine xxx-Gruppe ist aber zuvielm es sind nur 3!), das ist sicher das, was bei "Benutzerdefinierte Regeln" mit Quell-Netzwerk "xxx.xxx.xxx/24" und Zielport "22" rauskommt. Kannst Du ja auch leicht probieren. Wobei mir immer noch nicht ganz klar ist, wie man - z.B. von 217.232.44.233 Deine lokale xxx.xxx.xxx.xxx erreichen soll, weil - vorausgesetzt, Du hast die "xxx" ordentlich aus dem Kreis der für "private Netze" reservierten IPs genommen - niemand zu Dir durchroutet. Du kannst eine "192.168.0.1" (unter dieser IP) per Definition nur von einem "192.168.0.xxx"-PC aus erreichen. Von einem anderen (Sub)netz geht das doch nur per Masquerading und da hast Du doch dann die Hand drauf? Das einzige, was ich mir vorstellen könnte, sind diese DSL-Anschlussdinger, wenn die für mehrere mehrere LAN- oder WLAN-Zugänge sorgen, also irgenwie zugleich Switch und Gateway sind, davon habe ich Null Ahnung. cu -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org