Iptables

Internet Internet Sicherheit
1

Bin die ganze Zeit an meiner Firewall am stricken und komme nur sehr schleppend voran. Es wäre nett wenn ihr mir ein wenig auf die Sprünge helfen könntet.

Konkretes Probelm:
Ich will von dem Firewall Rechner (SUSE 7.2) direkt eine Freigabe von einem Win2000 Rechner nutzen. Um das Laufwerk zu mounten benutze ich folgendes Commando

smbmount //Rechner/Freigabe /Mountpoint

was wunderbar bei deaktivierter Firewall klappt.
Mit Firewall wird allerdings die Fehlermeldung ausgegeben:

Packet send failed to 192.168.100.255(137) ERRNO=Operation not
permitted
SMB connection failed

Allerdings ist das 192.168.100.X das Externe Netz (also die Netzwerkarte an der der ADSL Anschluss hängt). Der eigentliche Rechner hängt im 192.168.1.x Netz. Wobei das eigentlich ja nict das Problem sein sollte, wie gesagt ohne Firewall klappts bestens.

Ich habe die Ports 135-139 sowie 445 Freigegeben.

$IPTABLES -A OUTPUT -o $INTDEV -m state --state NEW,ESTABLISHED,RELATED -p TCP --syn --dport $NETBEUI -j ACCEPT
$IPTABLES -A INPUT -i $INTDEV -p TCP --syn --sport $NETBEUI -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $INTDEV -m state --state NEW,ESTABLISHED,RELATED -p TCP --syn --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $INTDEV -p TCP --syn --sport 445 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $INTDEV -m state --state NEW,ESTABLISHED,RELATED -p UDP --dport $NETBEUI -j ACCEPT
$IPTABLES -A INPUT -i $INTDEV -p UDP --sport $NETBEUI -m state --state ESTABLISHED,RELATED -j ACCEPT

Die Samba Freigaben auf dem Linux Rechner sind auch erreichbar, allerdings eben nicht der entgegengesetze Weg

Allgemeine Fragen:

$IPTABLES -A FORWARD -p TCP --syn -j ACCEPT

Was bewirkt die --syn Option ?

$IPTABLES -A WATCH -m limit -j LOG --log-level warn --log-prefix "ACCEPT "

Was bewirkt die -m limit Option ? Und wo kann ich das LOGFILE von IPTABLES einsehen ?

Gibt es eine List von Source Ports einzelner Dienst ? Also die Destination Ports sind ja klar, aber von welchen Ports werden Verbindungen z.B. zum ssh Port (22) aufgebaut ? Gibt es da eine Regelung oder ist das nicht absehbar ?

Gibt es gute Hilfe Seiten zu dem Thema (mit Beispiel Scripten ?)

Vielen Dank für eure Hilfe !

2

nur einen anprechpartner für dich (fg)…
[email protected]

gruß Franz

3

nur einen anprechpartner für dich (fg)…
[email protected]

… und der hat sich als allererstes sich gefragt, wozu der Fragende überhaupt seine Firewall braucht. Am Ende vermutlich nur, weil SuSE mit der Firewalll auf der Packung wirbt?

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html
http://netfilter.samba.org/unreliable-guides/packet-…

Sebastian

4

… und der hat sich als allererstes sich gefragt, wozu der
Fragende überhaupt seine Firewall braucht. Am Ende vermutlich
nur, weil SuSE mit der Firewalll auf der Packung wirbt?

Na ja, anscheinent hat er ADSL und ein internes Netzwerk, noch dazu mit Windows-Rechner(n?), da kann ein bisschen Mindestsicherheit ja mal nicht schaden. Außerdem benutzt er für das interne Netzwerk vielleicht/vermutlich NAT, was ohnehin schon mal einen Teil des Firewall-Codes des Kernels benötigt. Und da die SuSE-Firewall relativ einfach zu konfigurieren ist (denke ich) und danach zumindest schon mal die wichtigsten Dinge abblockt, kann das auch weiter nicht schaden, oder?

In seinem Fall denke ich schon, dass eine Firewall ein Stück weit zum sichereren System beiträgt (zumindest, wenn er sich nicht nur darauf verlässt). Warum installieren sich normale 1-Rechner-Benutzer auf ihren PCs eine Personal-Firewall? Bringt das vielleicht gar nix? Ich persönlich habe täglich schon so eine ganze Menge Anfragen von irgendwelchen PPP-Zugängen in meinem Firewall-Log, hab ja auch ADSL. Und das geht nicht nur à-là Nimda etc. auf Port 80…

Aber gut, da er ja anscheinend Probleme mit der Konfiguration hat, ist dein Einwand natürlich nicht ganz unberechtigt…

Gruß,
Stefan :smile:

5

Am Ende vermutlich
nur, weil SuSE mit der Firewalll auf der Packung wirbt?

Na ja, anscheinent hat er ADSL und ein internes Netzwerk, noch
dazu mit Windows-Rechner(n?), da kann ein bisschen
Mindestsicherheit ja mal nicht schaden.

Irgendwie schadet die nie so richtig. Auch nicht beim Schlafen.

Außerdem benutzt er
für das interne Netzwerk vielleicht/vermutlich NAT, was
ohnehin schon mal einen Teil des Firewall-Codes des Kernels
benötigt.

Du meinst den packet filter-Code…?

Und da die SuSE-Firewall relativ einfach zu
konfigurieren ist (denke ich)

keine Ahnung. Meine SuSE ist so alt, daß sie sowas nicht hat.

und danach zumindest schon mal
die wichtigsten Dinge abblockt, kann das auch weiter nicht
schaden, oder?

Nein. Aber ichbehaupte mal, daß mein Rechner aoch ohne Abblocken nicht unsicherer ist. Nur 'ne Behauptung…

In seinem Fall denke ich schon, dass eine Firewall ein Stück
weit zum sichereren System beiträgt (zumindest, wenn er sich
nicht nur darauf verlässt).

Ich weiß nur noch nicht so recht, wie? Damit er ungestört seinen kaputten IIS im internen Netz haben kann? Naja…

Warum installieren sich
normale 1-Rechner-Benutzer auf ihren PCs eine
Personal-Firewall?

Warum hängen sich Manta-Fahrer einen Fuchsschwanz an die Antenne?

Bringt das vielleicht gar nix?

Selbstwertgefühl. Sonst nochwas? Achja. Geld.

Ich
persönlich habe täglich schon so eine ganze Menge Anfragen von
irgendwelchen PPP-Zugängen in meinem Firewall-Log, hab ja auch
ADSL. Und das geht nicht nur à-là Nimda etc. auf Port 80…

Und? Du vesrchweigst ja, auf welchen Ports sich was tummelt. Aber was sollte denn dann passieren?

Aber gut, da er ja anscheinend Probleme mit der Konfiguration
hat, ist dein Einwand natürlich nicht ganz unberechtigt…

Das auch.

99% der Leute, die hier nach Firewalls fragen haben nur ein kaputtes System falsch konfiguriert. Aber Firewalls wollen sie natürlich **brennend/b> gerne installieren.

Sebastian**

6

Feuerfuchsige Mantafahrer :wink:

Außerdem benutzt er
für das interne Netzwerk vielleicht/vermutlich NAT, was
ohnehin schon mal einen Teil des Firewall-Codes des Kernels
benötigt.

Du meinst den packet filter-Code…?

Jupp. Hätte mich vielleicht etwas genauer ausdrücken können, aber den gibts inzwischen immerhin schon in drei Varianten, da werden wohl die Namen automatisch etwas schwammiger… *faul rausred*

Und da die SuSE-Firewall relativ einfach zu
konfigurieren ist (denke ich)

keine Ahnung. Meine SuSE ist so alt, daß sie sowas nicht hat.
Aber ichbehaupte mal, daß mein Rechner aoch ohne
Abblocken nicht unsicherer ist. Nur 'ne Behauptung…

Glaube ich dir gerne. Hab ja nicht gesagt, dass ein bisschen Acht geben auf laufende Systemdienste nicht effektiver sein kann, oder? Kann/macht nur nicht jeder…

Warum installieren sich
normale 1-Rechner-Benutzer auf ihren PCs eine
Personal-Firewall?

Warum hängen sich Manta-Fahrer einen Fuchsschwanz an die
Antenne?

Guter Vergleich :wink:
Ansonsten siehe unten.

Bringt das vielleicht gar nix?

Selbstwertgefühl. Sonst nochwas? Achja. Geld.

… na ja, letzteres kostet es eher… :wink:

99% der Leute, die hier nach Firewalls fragen haben nur ein
kaputtes System falsch konfiguriert. Aber Firewalls wollen sie
natürlich brennend gerne installieren.

Glaube ich gerne. Klingt ja auch immer nach Sicherheit…

Nur gebe ich zu bedenken, dass es einfacher ist, ein einigermaßen gut vorkonfiguriertes Firewall-Programm zu installieren, als sich in Systemsicherheitsinterna einzuarbeiten. Und gemessen an Otto-Normal-Benutzer denke ich schon mal, dass ein solches Programm zumindest einige grundsätzliche Konfigurationsfehler schon mal umgehen kann. Vielleicht lernen die Benutzer ja sogar noch was dabei, wenn irgendwelche Erklärungen mitgeliefert werden oder so…

Ich werte das übrigens auch nicht wirklich als Vorteil, dass das einfacher ist. Mir ist schon durchaus klar, dass das kein Ersatz für eine vernünftige Konfiguration des Rechners ist, das brauchst du mir nicht zu sagen. Jeder, der einen Rechner ans Netz hängt, ohne sich darüber im Klaren zu sein, was darauf alles am Laufen ist, handelt einfach unverantwortlich.

Ich denke aber, dass (Personal-)Firewalls den Benutzern auch die Möglichkeit (!) bieten, sich erst einmal mit dem Thema Systemsicherheit auseinanderzusetzen - und wenn, wie eben bei SuSE, ohnehin schon eine Packetfilterkonfiguration dabei ist, warum denn nicht?

Ein Problem wird es dann, wenn die Benutzer sich dadurch in Sicherheit wähnen und anfangen Mist zu bauen - und das kann durch die jeweilige Packungswerbung natürlich leicht suggeriert werden…

Na ja, sei’s drum. Ich denke, wir müssen darüber nicht streiten. Hab vorhin noch mal ein paar deiner anderen Artikel gelesen (war noch nicht oft im Brett hier, auch wenn das Thema irgendwo zu meinem Beruf gehört) und finde die meisten dieser Artikel doch ganz vernünftig - um’s mal vorsichtig auszudrücken…

Also, nix für Ungut, hatte nur nach deinem Artikel da den Eindruck, Personal-Firewalls wären von sich aus schlecht - und das wollte ich nicht so stehen lassen. In dem gegebenen Fall fand ich die Benutzung einfach naheliegend…

Gruß,
Stefan :smile:

7

keine Ahnung. Meine SuSE ist so alt, daß sie sowas nicht hat.
Aber ichbehaupte mal, daß mein Rechner aoch ohne
Abblocken nicht unsicherer ist. Nur 'ne Behauptung…

Glaube ich dir gerne. Hab ja nicht gesagt, dass ein bisschen
Acht geben auf laufende Systemdienste nicht effektiver sein
kann, oder? Kann/macht nur nicht jeder…

Das ist das Problem: Wenn SuSE sagen würde, man sollte den Sendmail im Auge behalten, würden alle Leute sich wundern, was für halbgare Lösungen SuSE verkauft. Mit einertollen „Firewall“ kann man das gut wieder wettmachen…

Bringt das vielleicht gar nix?

Selbstwertgefühl. Sonst nochwas? Achja. Geld.

… na ja, letzteres kostet es eher… :wink:

Sorry. Ich habe vergessen, meine Norton- und ZonLabs-Aktien zu erwähnen.

Glaube ich gerne. Klingt ja auch immer nach Sicherheit…

Nur gebe ich zu bedenken, dass es einfacher ist, ein
einigermaßen gut vorkonfiguriertes Firewall-Programm zu
installieren, als sich in Systemsicherheitsinterna
einzuarbeiten. Und gemessen an Otto-Normal-Benutzer denke ich
schon mal, dass ein solches Programm zumindest einige
grundsätzliche Konfigurationsfehler schon mal umgehen kann.

Hm. Das bezweifele ich immer. Das Problem ist ja im Allgemeinen: „Ich will einen voll kuhlen FTP-Server!!! Jetzt! Schön, daß wu-ftpd 1.5.1 schon läuft - den Button zum Anknipsen habe ich ohnehin nicht gefunden. - Danke SuSE!!!“

Vielleicht lernen die Benutzer ja sogar noch was dabei, wenn
irgendwelche Erklärungen mitgeliefert werden oder so…

Bist Du etwa ein Turnbeutelvergesser, Warmduscher, Frauenversteher oder README-Leser?

Ich denke aber, dass (Personal-)Firewalls den Benutzern auch
die Möglichkeit (!) bieten, sich erst einmal mit dem Thema
Systemsicherheit auseinanderzusetzen - und wenn, wie eben bei
SuSE, ohnehin schon eine Packetfilterkonfiguration dabei ist,
warum denn nicht?

Weil man bei SuSE nicht den Hintergrund lernen soll. Klar, ipchains und iptables ist ein nettes Spielzeug, mit dem man extrem viel lernen kann. Aber eben nicht, in dem man SUSE_FIREWALL_ENABLE_FTP=YES macht.

Also, nix für Ungut, hatte nur nach deinem Artikel da den
Eindruck, Personal-Firewalls wären von sich aus schlecht -

Ja. Man könnte sinnvolle Dinge mit tun (nämlich lernen), stattdessen denken die Leute, sie seien damit sicher.

Und das ZoneAlarm-Geraffel halte ich komplett ausschließlich fürs Spielen geeignet.

Gruß,

Sebastian