Hi Leute!

Ich habe mir gedacht, nachdem meinen Router jetzt neuinstalliert habe (vor ein paar Wochen), kannst du dir auch mal eine Firewall erstellen.
Hm, leichter gesagt, als getan. ;)
Ich habe mir also das HowTo zu Ipchains durchgelesen (weil ich den Kernel 2.2.16 verwende).
Nun stellen sich folgende Fragen:

- Richtig sicher ist es nur dann, wenn ich alles zumache und nur bestimmte Sachen aufmache, oder?
- Wie schließe bzw. mach ich die Ports unsichtbar? (Oder habe ich das überlesen)
- Wie kann ich die benutzen Ports rausbekommen? (Also die, die offen sein müssen?)
- Wie kann ich das am Ende testen, ob es auch sicher ist?
- Es gibt Seiten, wo man die offenen Ports scannen kann, hat da jemand eine gute URL?

Fragen über Fragen...

Vielen Dank im Voraus für jeden Tipp, URL, usw... :)


gruß ZockerM

-> Richtig sicher ist es nur dann, wenn ich alles zumache und nur bestimmte Sachen aufmache, oder?




Richtig.









-> Wie schließe bzw. mach ich die Ports unsichtbar? (Oder habe ich das überlesen)




Schliessen (nichts aktzeptieren) geht mit der Policy DENY ("unsichtbar") oder REJECT. Bei REJECT kriegt der andere ne Meldung dass der Port zu ist.









-> Wie kann ich die benutzen Ports rausbekommen? (Also die, die offen sein müssen?)




1. Die Ports die du zum Surfen und sonstiges benötigst im Firewall-HOWTO nachlesen und so einstellen.







2. Die Restlichen dichtmachen, mit der log-Regel (ipchains -l) loggen lassen und dann einfach mal ausprobieren. Sofort siehst du die Ports die noch offen sein sollten in der messages.









-> Wie kann ich das am Ende testen, ob es auch sicher ist?




Nen Portscanner verwenden, z.B. nmap von insecure.org




Oder nen Hagger beauftragen
:D







-> Es gibt Seiten, wo man die offenen Ports scannen kann, hat da jemand eine gute URL?




Jo hab ich auch aber nen portscan mit nmap ist immer besser.




http://grc.com/default.htm

Viel Glück!

Hi!

Erstmal vielen Dank für deine schnelle Antwort.
Ich habe jetzt schon ein bisschen rumprobiert, aber jetzt stellt sich eine neue Frage:
Es müsste doch reichen, wenn ich Ports wie CUPS usw. für das Interface ppp+ zumache, oder?
Wenn ja, wie kann ich den kontrollieren, ob die auch sicher zu sind? Mein Portscanner sagt mir immer, dass sie noch offen sind, da er über das lokale Netzwerk geht, und sie ja da offen sein sollen. :confused:
Auf der Seite werden auch nur die Standard-Ports durchsucht...

Vielen Dank im Voraus.

gruß ZockerM

>Es müsste doch reichen, wenn ich Ports wie CUPS usw. für das Interface ppp+ zumache, oder?





Klar geht das auch, kommt drauf an wie sicher deine FW sein soll.


Meine ist z.B. exxtrem dicht. (hoffe ich doch)
:D



>Wenn ja, wie kann ich den kontrollieren, ob die auch sicher zu sind? >Mein Portscanner sagt mir immer, dass sie noch offen sind, da er über das lokale Netzwerk geht, und sie ja da offen sein sollen.





Da kannst du zwei möglichkeiten wählen:



Entweder du gehst zu einem Freund und nützt dort den Portscanner dass du von aussen hinkommst (dann deine IP-Adresse scannen oder mit dyndns.org sichern) oder du drehst deine Firewall um dass du alle Regeln statt auf ppp0 auf eth0 (eth1) hast, also "von innen" scannen kannst.





Einfache Regel:

Je länger du dich mit Firewalls beschäftigst desto besser werden sie.

;)

Hi!

Also ich habe jetzt so ein bisschen rumgespielt. Als erstes habe ich alle Ports (input und output) dichtgemacht und die Zugriffe geloggt.
Also habe ich die Ports dann aufgemacht. Nun habe ich folgendes Problem:
Da ich ja Masquerading benutze, musste ich sehr viele Ports im hohen Bereich aufmachen.
Zudem habe ich noch das Problem, dass E-Donkey auch einen großen Bereich von Ports benutzen will...

Wie kann ich das in den Griff kriegen? Ich will ja nicht allzuviele Ports aufmachen, aber es soll trotzdem noch alles funktionieren... :confused:

Vielen Dank im Voraus.


gruß ZockerM

jo, mit Masquerading brauchst du die Ports von 61000 - 65095 TCP und UDP offen. Aber bitte nicht immer eine Regel für einen Port schreiben sondern den Bereich angeben!







Ports im hohen Bereich sind nicht schlimm, da alle über 1024 "sicher" sind.







Für spezielle Programme kannst du mal hier nachsehen:



http://www.tsmservices.com/masq


Ist ne tolle Seite!





Ich will ja nicht allzuviele Ports aufmachen

Ja entweder es funktioniert oder du ziehst gleich den Stecker, dann biste auch sicher:D

Hier (http://www.lfd.niedersachsen.de/service/service_selbstt.html) (Der Landesbeauftragte für den Datenschutz Niedersachsen - Selbsttest von Internetanschlüssen) kannst du auch einen Online-Test durchfüheren, wahlweise nur die "stark gefährdeten" Ports < 1025 oder auch alle.

Grüße, Thomas.

Hi!

Ich denke ich poste mal mein Zwischenergebnis: (ipchains-save)

-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 24:24 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1400:1900 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1400:1500 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1320:1400 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1200:1300 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 64100:65535 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 4661:4662 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 5190:5190 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3400:3600 -i ppp+ -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1:65535 -i ppp+ -p 6 -j DENY -l
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ppp+ -j MASQ
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 24:24 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1870:1870 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 4661:4662 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1100:1200 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 5190:5190 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 64300:64400 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -i ppp+ -p 6 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 1:65535 -i ppp+ -p 6 -j DENY -l

Ich habe jetzt alle Ports über 1024 aufgemacht, weil E-Donkey eine Riesenanzahl an Ports haben wollte...

Was haltet ihr davon? (Ich weiß es ist nicht gut, denn es schützt vor keinen Angriffen, aber ich denke es ist ein Anfang, hoffe ich ;))


gruß ZockerM

hi,
ich kann dir zwar nicht wirklich weiterhelfen, aber schau dir mal diesen Link an: http://www.theparallax.com/wissen/sicherheit/pd_firewallecke.html