Re: [PUG] Firewalling: Sinn oder Unsinn?
Hi, In article [EMAIL PROTECTED] you wrote: Ich hab leider ziemliche Probleme damit, den ganzen ipchains- und iptables-Kram zu fressen. Solange es nur um diese input- und output-Chains geht, klappt es grade noch, aber bei selbstdefinierten Chains ist spätestens der Ofen aus. Ich habe sie bis jetzt erst einmal gebraucht, in der ipchains howto steht da ne gute Anleitung dazu. bis denn -- May the source be with you! --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Firewalling: Sinn oder Unsinn?
Hi allerseits! Also, ich habe mir jetzt endlich auch mal so einen lustigen ISDN-Router zusammengeschustert. Nun frage ich mich: Wozu brauche ich eigentlich diesen Firewall-Kram? Vom Internet aus sieht die Kiste folgendermaßen aus: martin@tux:~$ nmap pc19f0a27.dip.t-dialin.net Starting nmap V. 2.12 by Fyodor ([EMAIL PROTECTED], www.insecure.org/nmap/) No ports open for host pC19F0A27.dip.t-dialin.net (193.159.10.39) Nmap run completed -- 1 IP address (1 host up) scanned in 16 seconds Wenn da eh kein einziger Daemon läuft (SSH ist gezielt aufs LAN-Interface gebunden, alle anderen Sachen laufen auf einer anderen Maschine), was bringt mir denn dann die Filterei, abgesehen von blöden Nervereien bei der Konfiguration? Im Moment habe ich nur diese eine Regel definiert: gateway:~# ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): target prot opt sourcedestination ports MASQ all -- 192.168.0.0/16 anywhere n/a Chain output (policy ACCEPT): gateway:~# Die Sicherheit des Routers selbst sehe ich nicht bedroht, aber gibt es einen Weg von draußen nach drinnen (Source Routing, schlagmichtot, was weiß ich), den ich zunageln müßte? -martin -- Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
RE: [PUG] Firewalling: Sinn oder Unsinn?
hast du schon mal bei http://astalavista.box.sk gesucht? wenn nein, hier ein paar links http://hackingtruths.box.sk/manuals.htm http://neworder.box.sk/showme.php3?id=1915 http://packetstorm.securify.com/DoS/pluto.c eigentlich brauchst du keine firewall, da deine rechner maskiert sind, oder? henrik --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Firewalling: Sinn oder Unsinn?
* Henrik Schneider wrote/schrieb: eigentlich brauchst du keine firewall, da deine rechner maskiert sind, oder? Das ist eben die Frage. ;-) -martin -- Weird enough for government work. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Firewalling: Sinn oder Unsinn?
Was ist denn mit so netten Sachen ARP-Spoofing??? als ipchains-Regel dann eben z.B.: $IPCHAINS -A input -i eth0 -s ! $localnet -j DENY $IPCHAINS -A input -i ! eth0 -s $localnet -j DENY $IPCHAINS -A input -i ! lo -s $localhost -j DENY Es macht auch Sinn eine Firewall so einzustellen, dass irgendwelche Trojaner ihre liebe Mühe und Not haben nach draussen zu kommen (das ist in einem Netz mit Windoof-Rechner natürlich wichtiger). Gruss Tobi --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Firewalling: Sinn oder Unsinn?
* Tobias Kaefer wrote/schrieb: Was ist denn mit so netten Sachen ARP-Spoofing??? als ipchains-Regel dann eben z.B.: $IPCHAINS -A input -i eth0 -s ! $localnet -j DENY $IPCHAINS -A input -i ! eth0 -s $localnet -j DENY $IPCHAINS -A input -i ! lo -s $localhost -j DENY Na siehste, sowas ist doch schonmal hilfreich. Ich hab leider ziemliche Probleme damit, den ganzen ipchains- und iptables-Kram zu fressen. Solange es nur um diese input- und output-Chains geht, klappt es grade noch, aber bei selbstdefinierten Chains ist spätestens der Ofen aus. Ist aber wahrscheinlich unterm Strich nur Gewöhnungssache. Es macht auch Sinn eine Firewall so einzustellen, dass irgendwelche Trojaner ihre liebe Mühe und Not haben nach draussen zu kommen (das ist in einem Netz mit Windoof-Rechner natürlich wichtiger). Hmm, das ist mir irgendwie wurscht. :-] Danke, -martin -- Quitters never win, winners never quit. But those who never win and never quit are idiots. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Firewalling: Sinn oder Unsinn?
Na siehste, sowas ist doch schonmal hilfreich. Gelle! Ich hab leider ziemliche Probleme damit, den ganzen ipchains- und iptables-Kram zu fressen. Solange es nur um diese input- und output-Chains geht, klappt es grade noch, aber bei selbstdefinierten Chains ist spätestens der Ofen aus. iptables hab ich auch noch nihct gemacht. Never change a running System, aber ich hab hier meinen neuen alten Rechner stehen und bei dem habe ich die Tage Debian 2.2 via Internet-Installation drauf gespielt. (Danke an Martin Sch. für seinen Beitrag vor ein paar Wochen) Jetzt will ich dort ein wenig mit den IPTables rumspielen. Lerning by Doing eben.. IPTables haben eben so ihre Vorteile. (DNAT ist schon was sehr interessantes) zurück zu Thema: Aber man kann ja auch z.B. einen transparenten Proxy einrichten, oder?? Ich habe mir auch noch ein ipchains-Dump Utility bei freshmeat besorgt. Dort werden alle Zugriffe auf gesperrte Ports in eine eigene Datei geloggt. Damit kann man sehr schnell einen potentiellen Angreifer überführen. Wenn man will kann man dann auch noch die UDP/TCP-Pakete mit abspeichern (dann sollte die Festplatte auch entsprechend gross genug sein). Also so eine Firewall hat schon so seine nützliche Seite auch wenn die Konfiguration etwas aufwending ist (ich z.B. habe insgesamt 65 Regeln mit 5 Chains(INPUT, FORWARD, OUTPUT und ppp-in, ppp-out) definiert) Es gibt einem eben schon sehr sicheres Gefühl. Ich würde eben alle nicht benutzten Ports für aussen sperren. Dann noch SQUID drauf und fertig ist eine für den Privatgebrauch vernünftige Lösung. Gruss Tobi --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Firewalling: Sinn oder Unsinn?
Wer checkt eigentlich den ganzen Kernel-Source auf absichtliche faule eier im Source? Mir ist trotz Open-Source nicht immer so ganz wohl dabei. Also, ich habe mir jetzt endlich auch mal so einen lustigen ISDN-Router zusammengeschustert. Nun frage ich mich: Wozu brauche ich eigentlich diesen Firewall-Kram? MASQ all -- 192.168.0.0/16 anywhere n/a Chain output (policy ACCEPT): Da kann ja auch alles raus. Ich würde es schon etwas stärker limitieren und nur die Prots rauslassen, die Du brauchst. Klar ist das für ein privates System Overkill. Doch wer macht das alles nur zum völligen Spass? Da geht man doch lieber ein Bier trinken, schwimmen oder in den urlaub. Martin Kellner --- PUG - Penguin User Group Wiesbaden - http://www.pug.org