Re: firewall und apt-get
Martin Heinrich [EMAIL PROTECTED] dixit: Bitten den Vorredner stehen lassen. Danke. Wenn Du UDP gesperrt hast, duerfte Dein allererstes Problem die Namensaufloesung sein, die laeuft naemlich ueber Port 53 UDP. Naja wenn ich nur 0-1024 udp sperre funzt es ja auch, wenn ich 0: sperre dann bleibt apt-get stehen und fängt nicht an zu laden (hast aber recht scheint auch nicht die ip zu erkennen) Hast du ne Lösung für das Problem? Ich gehe bei mir zunaechst unbekannten Vorgehensweisen von Software bezueglich deren Anforderungswuenschen an das oeffentliche Netz so vor, dass ich die Firewallregeln komplett schliesse und gedroppte Pakete mitprotokollieren lasse. Dann sind zumeist erst einmal Nameserverdienste auf 53/UDP freizuschalten. Danach kann ich deutlich erkennen, was gedroppt wurde und und die gedroppten Pakete Zug um Zug freigeben, bis die Software laeuft. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Ich gehe bei mir zunaechst unbekannten Vorgehensweisen von Software bezueglich deren Anforderungswuenschen an das oeffentliche Netz so vor, dass ich die Firewallregeln komplett schliesse und gedroppte Pakete mitprotokollieren lasse. Dann sind zumeist erst einmal Nameserverdienste auf 53/UDP freizuschalten. Danach kann ich deutlich erkennen, was gedroppt wurde und und die gedroppten Pakete Zug um Zug freigeben, bis die Software laeuft. Gruss Peter Blancke Ist ein vernüftiger Ansatz! Probier ich bei Gelegenheit mal... jetzt hab ichs so hinbekommen mit dem --syn parameter hats dann irgendwie geklappt... :-D Gruss+schönen Sonntag. Martin -- Heirat ist der Tod der Hoffnung -- Woody Allen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Am 2003-09-20 16:39:04, schrieb Martin Heinrich: sperre ich aber alle upds von draussen machts apt-get nicht mehr. Dachte das liegt am passiven ftp, aber das läuft doch eigentlich über tcp, oder? DNS - UDP ;-)) was muss ich machen um updaten zu können und trotzdem nicht tor und tür (nur fenster nicht) zu öffnen? Dann soltest Du die Antworten von deinem ISP's DNS-Servers auch reinlassen. Dank für Rat und Tat. Gruss Martin Sonntagsgrüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Udo Müller schrieb/wrote: Martin Heinrich wrote: will eine Firewall die alles von draussen kommende sperrt. tcp + udp 1. Konfiguriere erst deine Dienste sicher, damit nicht so viele Programme am externen Interface lauschen. ACK. 2. dann sperre die Ports, die noch offen sind. Sonst: Bitte generell nach dem Ansatz verfahren: Erst alles dicht und dann suksessive wieder öffnen. Dazu die Logfunktion von iptables nutzen! In den ersten Wochen des Betriebes sollte man dazu auch noch regelmaessiger als ohnehin einen Blick in die Logs werfen. In Abhaengigkeit der dort vorhandenen Eintraege kann man sich dann an folgenden Fragen orientieren: - Wurde das betreffende Paket korrekt abgelehnt oder soll es passieren duerfen? - Soll jedes entsprechend abgelehnte Paket im Logfile auftauchen? Gerade bezieglich des letzten Punktes kann man noch recht viel mit iptables zaubern: - Anzahl der maximal zu akzeptierenden Pakete pro Zeiteinheit - Nicht-Loggen des entspr. Paketes, indem man vor der Catch-all-Logregel eine entsprechende Reject-Regel einbaut... Die Moeglichkeiten sind quasi unbegrenzt - wie einem auch der Umfang von man iptables immer wieder drastisch vor Augen fuehrt...;-) Gruss, Christian -- Christian Schmidt | Germany PGP Key ID: 0x28266F2C No HTML Mails, please! pgp0.pgp Description: PGP signature
firewall und apt-get
ich hatte schon einen thread, der wurde sehr gut beantwortet. Leider hats nicht funktioniert. Die handbücher sind gezückt ne runde gegoogelt bin ich (vielleicht stell ich mich beim googlen ja auch zu blöd an?) hab trotzdem folgendes Problem: will eine Firewall die alles von draussen kommende sperrt. tcp + udp sperre ich aber alle upds von draussen machts apt-get nicht mehr. Dachte das liegt am passiven ftp, aber das läuft doch eigentlich über tcp, oder? was muss ich machen um updaten zu können und trotzdem nicht tor und tür (nur fenster nicht) zu öffnen? Dank für Rat und Tat. Gruss Martin -- Aus Murphy's Gesetze: Dein Produkt wird von Fachzeitschriften so lange nicht getestet, bis Konkurrenzprodukte auf den Markt gebracht werden, die besser sind. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Martin Heinrich [EMAIL PROTECTED] dixit: will eine Firewall die alles von draussen kommende sperrt. tcp + udp Alles? Dann geht eben auch nichts mehr. sperre ich aber alle upds von draussen machts apt-get nicht mehr. Es geht eben nichts mehr - wie gesagt. Dachte das liegt am passiven ftp, aber das läuft doch eigentlich über tcp, oder? Wenn Du UDP gesperrt hast, duerfte Dein allererstes Problem die Namensaufloesung sein, die laeuft naemlich ueber Port 53 UDP. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Wenn Du UDP gesperrt hast, duerfte Dein allererstes Problem die Namensaufloesung sein, die laeuft naemlich ueber Port 53 UDP. Naja wenn ich nur 0-1024 udp sperre funzt es ja auch, wenn ich 0: sperre dann bleibt apt-get stehen und fängt nicht an zu laden (hast aber recht scheint auch nicht die ip zu erkennen) Hast du ne Lösung für das Problem? Danke+schönen sonnigen Samstag noch... -- Wie erkennt man einen fliegenden Hasen? Er hat einen Adler auf dem Rücken. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Am Samstag, 20. September 2003 17:25 schrieb Martin Heinrich: Naja wenn ich nur 0-1024 udp sperre funzt es ja auch, wenn ich 0: sperre dann bleibt apt-get stehen und fängt nicht an zu laden (hast aber recht scheint auch nicht die ip zu erkennen) Hast du ne Lösung für das Problem? Vielleicht schaust tu mit tcpdump oder ethereal welcher Verkehr rein/raus gehen muss und sperrst den rest ? Michael - -- Homepage: http://www.worldforge.org/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQE/bHX9WSOgCCdjSDsRArA7AJ4ya+0Keq1hd7uVTm2JwN15u9cAPgCbBwjG JJBkKg6231VEFfG5rwUKhzo= =C/T6 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Hallo Martin, Martin Heinrich schrieb/wrote: hab trotzdem folgendes Problem: will eine Firewall die alles von draussen kommende sperrt. tcp + udp sperre ich aber alle upds von draussen machts apt-get nicht mehr. Dachte das liegt am passiven ftp, aber das läuft doch eigentlich über tcp, oder? was muss ich machen um updaten zu können und trotzdem nicht tor und tür (nur fenster nicht) zu öffnen? Am besten laesst Du iptables die abgelehnten Pakete loggen. Dann kannst Du nachher einen Blick ins Logfile werfen und feststellen, an welche lokalen Ports die Pakete gerichtet waren. Eine andere Variante waere das Ausnutzen der stateful-Faehigkeiten von iptables (bzw. der dahinterstehenden netfilter-Technologie). Der Kernel kann naemlich erkennen, ob irgendwelche Pakete zu einer bestimmten Verbindung gehoeren. Such mal in man iptables nach dem Wort related. Gruss, Christian -- Christian Schmidt | Germany PGP Key ID: 0x28266F2C No HTML Mails, please! pgp0.pgp Description: PGP signature
Re: firewall und apt-get
Vielleicht schaust tu mit tcpdump oder ethereal welcher Verkehr rein/raus gehen muss und sperrst den rest ? Das ist eigentlich nen Ansatz... danke für das anschubsen. Gruss Martin -- Den Benutzern anderer Betriebssysteme wie Linux oder OS/2 unterstellen wir die nötigen Grundkenntnisse [...] -- T-DSL Montage- und Betriebsanleitung, Kapitel 6 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall und apt-get
Martin Heinrich wrote: will eine Firewall die alles von draussen kommende sperrt. tcp + udp 1. Konfiguriere erst deine Dienste sicher, damit nicht so viele Programme am externen Interface lauschen. 2. dann sperre die Ports, die noch offen sind. Sonst: Bitte generell nach dem Ansatz verfahren: Erst alles dicht und dann suksessive wieder öffnen. Dazu die Logfunktion von iptables nutzen! Gruss Udo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)