FW-Frage (SuSE9.0)

Internet Internet Sicherheit
1

Hallo Leute!

Ich habe auf meinem alten PC die Suse (9.0) aufgespielt, ihm eine zweite
Netzwarkkarte verpasst.

eth0 geht zum DSL-Modem, eth1 ist „intern“.

Das mit dem Routing funktioniert, beide anderen Rechner können ins Netz.

Die FW ist so konfiguriert, daß „nur erwartetes“ hereingelassen wird. - Gut,
ich kann nun per IM keine Dateien mehr empfangen aber wenn mir einer meiner
Freunde partout (schreibt man das so?) was senden will hat er auch meine
Emailaddy… Ich kann mit diesem Verhalten, von dem ich mittlerweile auch den
Grund ‚ergoogelt‘ habe, gut leben.

Man sollte meinen, das ich eigentlich keine Frage mehr haben sollte, aber dem
ist nicht so! *lach*

  1. Ich habe gesehen, das ich mit „iptables -A OUTPUT -d dieseseite.willich.net
    -j DROP“ den aufruf der Seite (und nur dieser, ist mir klar) unterbinden kann.

Was macht klein Uti mit so einer Info? - RICHTIG! AUSPROBIEREN!

Dummerweise habe ich, auch nach stundenlagem googeln (ich sitze seit heute
morgen um 8 Uhr an der Kiste), probieren, fluchen - und mittlerweile einer
halben Flasche Rotwein (der beruhigt), immer noch kein erfolgserlebnis.
Ich kann meine „Testseite“ (irgendwas aus china) immer noch aufrufen.

Der Befehl gehört also nicht in die Konsole. Damit scheidet ein
selbstgeschriebenes, beim systemstart aufzurufendes skript also aus. :-/

Auch mein Versuch, den Befehl in das FW-Script /etc/sysconfig/SuSEfirewall2
einzutragen, brachte keinen Erfolg.
(Ja ich habe die FW danach neu gestartet - als das nicht ‚ging‘ auch das ganze
System (mit gleichschlechtem Erfolg)).

Ich habe gegoogelt, ich habe probiert - denn ich habe ein Backup *lach* (klar,
oder?) - und jetzt habe ich verzweifelt aufgegeben und wende mich an euch.

Wo muß ich das eingeben???
achja ich habe natürlich auch versucht, das (http://) dieseseite.willich.net
durch die IP-Adresse zu ersetzen, was auch nicht funktionierte.

Und meine zweite Frage stelle ich, weil es passt - nicht weil es akut ist:

  1. Mit der FW kann ich Ports sperren, mit dem eben angesprochen Befehl, sollte
    ich (einzelne) Seiten sperren können, wenn es denn funzt.
    Kann man auch „ganze protokolle“ sperren? Also z.B. „jede TCP Verbindung“, egal
    von und an welche® IP-Adresse verbieten. (ziemlich sinnfrei, ich weiß).
    Mir gehts dabei nicht um sinn oder unsinn, sondern ums ausprobieren und lernen.

So, ich geh jetzt in mein Brüllkämmerchen für 10 Minuten Urschreitherapie (bin
recht angefressen mittlerweile)… :wink:

Bis gleich und danke schon jetzt für eure tips!
(Nein ich werde euch nicht anschreien, habs hier ja auch nicht, oder? ODER??!
*lach*)

Grüße, Ute

2

Hallo Leute!

Hi,

  1. Ich habe gesehen, das ich mit „iptables -A OUTPUT -d
    dieseseite.willich.net
    -j DROP“ den aufruf der Seite (und nur dieser, ist mir klar)
    unterbinden kann.

Dummerweise habe ich, auch nach stundenlagem googeln (ich
sitze seit heute
morgen um 8 Uhr an der Kiste), probieren, fluchen - und
mittlerweile einer
halben Flasche Rotwein (der beruhigt), immer noch kein
erfolgserlebnis.
Ich kann meine „Testseite“ (irgendwas aus china) immer noch
aufrufen.

Was ist die Ausgabe von

 $ ping -c1 dieseseite.willich.net
 $ sleep 30
 $ ping -c1 dieseseite.willich.net
 $ dig dieseseite.willich.net
  1. Mit der FW kann ich Ports sperren, mit dem eben
    angesprochen Befehl, sollte
    ich (einzelne) Seiten sperren können, wenn es denn funzt.
    Kann man auch „ganze protokolle“ sperren? Also z.B. „jede TCP
    Verbindung“, egal
    von und an welche® IP-Adresse verbieten. (ziemlich sinnfrei,
    ich weiß).

So aus dem trockenen:

 # iptables -t filter -A FORWARD -p tcp -m tcp -j REJECT --reject-with tcp-reset

‚-t filter‘ ist optional, ‚-p tcp -m tcp‘ redundant. Ausserdem: http://iptables-tutorial.frozentux.net/chunkyhtml/in…
Gruss vom Frank.

3

Hallo Frank.

Was ist die Ausgabe von

$ ping -c1
dieseseite.willich.net
$ sleep 30
$ ping -c1 dieseseite.willich.net
$ dig dieseseite.willich.net

Da ich immer noch nicht weiß, was ich mit dem Befehl genau anstellen soll/muß,
habe ich ihn zum einen in das FW-Script geschrieben UND über die Kommandozeile
eigegeben. - Die FW wurde anschließen neu gestartet.

Eine kleine Anmerkung zu der URL. Sie dient nur als Testseite, was keinerlei
Wertung darstellen soll! Ich hätte genausogut google nehmen können… :wink:

Die Antwort ist wie folgt:

KUIPER:~ # ping -c1 www.nbinvest.gov.cn 
PING www.nbinvest.gov.cn (218.71.136.116) 56(84) bytes of data. 
64 bytes from 218.71.136.116: icmp\_seq=1 ttl=112 time=820 ms 

--- www.nbinvest.gov.cn ping statistics --- 
1 packets transmitted, 1 received, 0% packet loss, time 0ms 
rtt min/avg/max/mdev = 820.339/820.339/820.339/0.000 ms 

KUIPER:~ # ping -c1 www.nbinvest.gov.cn 
PING www.nbinvest.gov.cn (218.71.136.116) 56(84) bytes of data. 
64 bytes from 218.71.136.116: icmp\_seq=1 ttl=112 time=838 ms 

--- www.nbinvest.gov.cn ping statistics --- 
1 packets transmitted, 1 received, 0% packet loss, time 0ms 
rtt min/avg/max/mdev = 838.376/838.376/838.376/0.000 ms 

KUIPER:~ # dig www.nbinvest.gov.cn 

; \> DiG 9.2.2 \> www.nbinvest.gov.cn 
;; global options: printcmd 
;; Got answer: 
;; -\>\>HEADER 

Im Browser wird sie auch 'ganz normal angezeigt' ... und nun? 




> > 2) Mit der FW kann ich Ports sperren, mit dem eben   
> > angesprochen Befehl, sollte   
> > ich (einzelne) Seiten sperren können, wenn es denn funzt.   
> > Kann man auch "ganze protokolle" sperren? Also z.B. "jede TCP   
> > Verbindung", egal   
> > von und an welche(r) IP-Adresse verbieten. (ziemlich sinnfrei,   
> > ich weiß).
> 
>   
> So aus dem trockenen: 
> 
> # iptables -t filter -A FORWARD -p 
> tcp -m tcp -j REJECT --reject-with tcp-reset
> 
> '-t filter'   
> ist optional, '-p tcp -m tcp' redundant. Ausserdem:   
> [http://iptables-tutorial.frozentux.net/chunkyhtml/in...](http://iptables-tutorial.frozentux.net/chunkyhtml/index.html)


Danke, das werde ich mir später anschauen, wenn ich das hier zum laufen 
bekommen habe. Immer brav eins nach dem anderen :wink: 

Liebe Grüße, 
Ute
4

Hallo Frank.

Hi,

Da ich immer noch nicht weiß, was ich mit dem Befehl genau
anstellen soll/muß,

Das ist schlecht. Man sollte halbwegs wissen, was man tut.

Eine kleine Anmerkung zu der URL. Sie dient nur als Testseite,
was keinerlei
Wertung darstellen soll! Ich hätte genausogut google nehmen
können… :wink:

Nein, eben nicht: google macht DNS round robin. Deine Testseite offensichtlich nicht. Wenn Du mal der Ausgabe von

 $ dig www.google.de

Deine geneigte Aufmerksamkeit schenken wuerdes…

netfilter funktioniert auf Basis von nummerischen IP-Adressen und nicht DNS-Namen. Verwendest Du einen DNS-Namen in einer Regel wird er zum Zeitpunkt des Erstellens der Regel in eine IP-Adresse umgewandelt.

Im Browser wird sie auch ‚ganz normal angezeigt‘ … und nun?

Nun koenntest Du ja mal Dein Regelwerk anbringen. Vermutlich wird die IP# an irgendeiner Stelle schon vor Deiner Regel weggefangen und akzeptiert.

http://iptables-tutorial.frozentux.net/chunkyhtml/in…

Danke, das werde ich mir später anschauen, wenn ich das hier
zum laufen bekommen habe. Immer brav eins nach dem anderen :wink:

Genau und deshalb siehst Du Dir das _jetzt_ an. Eins nach dem anderen heisst hier naemlich: erst Dokumentation, dann rumspielen.

Gruss vom Frank.

5

Habs geschafft!
Hallo Frank.

Da ich immer noch nicht weiß, was ich mit dem Befehl genau
anstellen soll/muß,

Das ist schlecht. Man sollte halbwegs wissen, was man tut.

Da gebe ich Dir völlig recht aber meine Frage bezog sich darauf, WIE bzw. WO
ich den Befehl anwende. - Was er macht ist mir klar.

Als ich das Firewallscript etwas bearbeitete (Standardkommentare entfernen) um
es hier zu posten, stolperte ich über folgende Zeilen:

# Do you want to load customary rules from a file? 
# 
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS! 
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/ 
SuSEfirewall2-custom 
# 
#FW\_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" 
FW\_CUSTOMRULES=""

Also versuchte ich, den Befehl in diese „SuSEfirewall2-custom“ einzubauen.
Erster Versuch: Fehlschlag, ich hatte vergessen FW_CUSTOMRULES="" zu ändern.
Der zweite Versuch schlug auch fehl, denn FW_CUSTOMRULES=„yes“ ist Blödsinn, da
ja eine Pfadangabe erwartet wird… *rotwerd*
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" brachte dann den
erfolg.

Ich habe dann einw enig herumgespielt. Die Seite über die URL zu sperren ->
geht. Die Seite über die IP-Adresse zu sperren -> geht.
Ich habe dann mal beide Befehle eingebaut -> 1 fehlermeldung. - Ok, das erkläre
ich mir so das ich die URL ‚verboten‘ habe und danach die IP-Adresse, was im
endeffekt ja aufs gleiche hinausläuft.
Man kann eine Seite ja einmal per URL oder durch Eingabe der IP aufrufen und
beides sollte nicht gehen. - Ziel erreicht.
Gelernt habe ich, das bede Zeilen, also
iptables -A OUTPUT -d [URL] -j DROP
iptables -A OUTPUT -d [IP] -j DROP
nicht notwendig sind, bzw. das erste Verbot (die Reihenfolge ist egal) zu einer
Fehlermeldung bei der zweiten Zeile führt.

Nun koenntest Du ja mal Dein Regelwerk anbringen. Vermutlich
wird die IP# an irgendeiner Stelle schon vor Deiner Regel
weggefangen und akzeptiert.

Hat sich, für den Augenblick erledigt, denke ich.
Wenn Du es trotzdem möchtest kann ich es gerne posten oder per mail senden.

Danke, das werde ich mir später anschauen, wenn ich das hier
zum laufen bekommen habe. Immer brav eins nach dem anderen :wink:

Genau und deshalb siehst Du Dir das _jetzt_ an. Eins nach dem
anderen heisst hier naemlich: erst Dokumentation, dann
rumspielen.

Jetzt ist schlecht, wir bekommen gleich Besuch. - Aber ich werde es mir die
Lektüre zu Gemüte führen. - Hats Du zufällig (ergänzend, ersetzend) was
deutschsprachiges im Petto? Würde mir die Sache deutlichst (!!!) erleichtern!

Was Deine Reihenfolge angeht, so mache ich gerne beides gemischt. Also lesen,
austesten, lesen, austesten…
Der Zeitpunkt des Verstehens (oder halbwegs verstehens) kommt dann auch… :wink:
Von dem was ich sehe, lerne ich wenig.
Von dem was ich lese, lerne ich mehr.
Von dem was ich mache, lerne ich am meisten.

Liebe Grüße,
Ute