Moin :)

Ich beschäftige mich seit einigen Tagen mit der Shorewall von Mandrake und bin eher unzufrieden. Ich muss sie erstmal restarten bevor es die Einstellungen aus der Policy Datei übernimmt. (D.h. jedes mal wenn ich Linux neu boote muss ich die Shorewall restarten). Das nervt.

Außerdem erreicht sie kein TrueStealth.
Link: https://grc.com/x/ne.dll?bh0bkyd2 dann auf "Proceed" und "Common Ports".

Solicited TCP Packets: RECEIVED (FAILED)
Unsolicited Packets: PASSED
Ping Echo: PASSED

Alles Stealth bis auf die Ports 113,135,139 und 445, die sind nur closed.

Mit den ganzen IPtable Scripts die es an jeder Ecke gibt, komm ich irgendwie nicht klar. Ich will allerdings ne vernümpftige Firewall haben die auch wirklich TrueStealth und sicher ist. Mache ich diesen Test z.B. unter Windows mit dem ******* ZoneAlarm, so erreicht das Teil tatsächlich (fälschlicherweise?) nen TrueStealth und alles PASSED.

Ich bräuchte mal Links, HowTo's und Tips weil die Shorewall frustriert mich :(

Tu Dir diesen Stress doch nicht an und kauf Dir einen DSL-Router/NAT.
So teuer sind die nicht und Du hast Ruhe.

<ironie>also das ist ja ne tolle lösung</ironie> :D

wo hab ich da denn nen lern effekt? ich denke das kann man auch alles prima mit linux machen, u.a. deshalb hab ich mir ja jetzt auch linux angeschafft. ich will ja dazu lernen. und stressig finde ich es nicht :)

was für firewalls nutzt ihr denn so? (damit sind nur die gemeint, die auch eine nutzen) :D

Shorewall, Guarddog, FireStarter oder was ganz anderes?

Zeigt euch der Sygate Scan (http://scan.sygate.com/prestealthscan.html) auch z.B. Port 80, 113, 139 und 445 nur als closed und den rest als blocked an? Bei mir ist das leider so, ich nutze Shorewall.

/etc/shorewall/interfaces
ist kein port geöffnet

/etc/shorewall/policy

fw net ACCEPT
net all DROP info
#all all REJECT info

wobei die letzte zeile von mir auskommentiert wurde, da ich nicht ganz sicher bin wofür sie ist und in manchen tutorials nicht vorkam. war ne standard einstellung, habe es aber auch mal mit versucht, leider ohne unterschied.

Profis setzen immer Router mit eingebauter Firewall ein.
Shorewall ist zu viel administrativer Aufwand.

Original geschrieben von Zephyrus
was für firewalls nutzt ihr denn so? (damit sind nur die gemeint, die auch eine nutzen)


Ich nutze die Firewall im Hardwarerouter + firestarter

Gruß

Jochen

Original geschrieben von Samba
Profis setzen immer Router mit eingebauter Firewall ein.
Shorewall ist zu viel administrativer Aufwand.

Seh ich aus wie ein Profi? Wäre ich einer, würde ich dann so dämliche Fragen stellen? Nein, oder? :D

Howdy,

auch ich bekomme die Ports 80, 113, 139 und 445 nicht in den Stealth-Modus. Hier mal ein Auszug der Shorhewall-policys:

#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
masq net ACCEPT
loc net ACCEPT
fw net ACCEPT
loc fw ACCEPT
fw loc ACCEPT
#masq fw ACCEPT <<auskommentiert
fw masq ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Sollte doch möglich sein diese Ports auch mit der Shorewall zu schließen, das schafft ja selbst unter Windoof jede billige Firewall:-\

Cya
NUPSI

schau dir mal ipcop an.
www.ipcop.org

Hallo TFeaR,

ich bin neuem gegenüber im allgemeinen nicht abgneigt, werde mir IPCop also mal installieren und testen. Dennoch würde ich auch gerne wissen warum ich die besagten Ports der Shorewall nicht geschlossen bekomme.

Irgendwo muss es doch eine Regel geben die ich wahrscheinlich übersehe:-\

THX und Cya
NUPSI

@TFeaR,

sag mal soll das ein Witz sein mit IPCop? Hast Du irgendwie in meinem Beitrag zwischen den Zeilen gelesen, daß ich willens bin für meine Firewall einen Zweitrechner aufzubauen?

@Topic

Hat vielleicht jemand einen etwas weniger dämlichen Rat bezüglich der offenen Ports? Und bitte KEINEN ZWEITRECHNER und auch KEINEN HARDWAREROUTER empfehlen. Ich kann mir gut vorstellen Probleme zu lösen ohne der einfachheit halber ne Menge Hardwareschrott zu kaufen.

NUPSI

Profis setzen immer Router mit eingebauter Firewall ein.
Shorewall ist zu viel administrativer Aufwand.

Das ist der seit langem unqualifizierteste, lustigste Beitrag hier...

Du bist ein Profi!


cane

Kein Shorewall Profi hier im Forum? Ich habe jetzt echt alles in der Shorewall verboten bis auf eine Regel:

loc net ACCEPT

Alles andere ist auf DROP gesetzt. Wieso sind dann die oben genannten Ports nur geschlossen und nicht im Stealth-Modus?

NUPSI

Poste dein ganzes Iptables-Script...

Die Ports sind geschlossen, weil Sie sich warscheinlich in der Reject-Chain und nicht in der Drop-Chain befinden.

In der Drop-Chain werden alle eingehenden Pakete verworfen (staelth).
In der Reject-Chain werden alle eingehenden Pakete mit einem TCP Paket mit gesetztem RST Flag beantwortet (closed).

mfg
cane

Hi cane,

daran hab ich auch schon gedacht, aber ein umsetzen des einzigen REJECT-Parameters auf DROP in der policy brachte nur eine verschlimmerung:(

Hier mein IP-Tables script:



Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP !icmp -- anywhere anywhere state INVALID
ippp0_in all -- anywhere anywhere
common all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:INPUT:REJECT:'
reject all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
DROP !icmp -- anywhere anywhere state INVALID
ippp0_fwd all -- anywhere anywhere
common all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP !icmp -- anywhere anywhere state INVALID
fw2all all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain all2all (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
newnotsyn tcp -- anywhere anywhere state NEW tcp flags:!SYN,RST,ACK/SYN
common all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2all:REJECT:'
reject all -- anywhere anywhere

Chain common (5 references)
target prot opt source destination
icmpdef icmp -- anywhere anywhere
reject udp -- anywhere anywhere udp dpt:135
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
reject udp -- anywhere anywhere udp dpt:microsoft-ds
reject tcp -- anywhere anywhere tcp dpt:netbios-ssn
reject tcp -- anywhere anywhere tcp dpt:microsoft-ds
reject tcp -- anywhere anywhere tcp dpt:135
DROP udp -- anywhere anywhere udp dpt:1900
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4
reject tcp -- anywhere anywhere tcp dpt:auth
DROP udp -- anywhere anywhere udp spt:domain state NEW
DROP all -- anywhere dialin-212-144-091-096.arcor-ip.net

Chain dynamic (2 references)
target prot opt source destination

Chain fw2all (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
newnotsyn tcp -- anywhere anywhere state NEW tcp flags:!SYN,RST,ACK/SYN
ACCEPT all -- anywhere anywhere

Chain icmpdef (1 references)
target prot opt source destination

Chain ippp0_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state NEW

Chain ippp0_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state NEW
net2all all -- anywhere anywhere

Chain loc2all (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
newnotsyn tcp -- anywhere anywhere state NEW tcp flags:!SYN,RST,ACK/SYN
common all -- anywhere anywhere
DROP all -- anywhere anywhere

Chain net2all (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
newnotsyn tcp -- anywhere anywhere state NEW tcp flags:!SYN,RST,ACK/SYN
common all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2all:DROP:'
DROP all -- anywhere anywhere

Chain newnotsyn (4 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:newnotsyn:DROP:'
DROP all -- anywhere anywhere

Chain reject (10 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain shorewall (0 references)
target prot opt source destination


Schönen Dank für die Hilfe!!
NUPSI

Das was Du gepostet hast ist eine Auflistung aller Chains - nicht das eigentliche Iptables Script.

Allerdings ist der Fehler auch schon hier zu erkennen:

Die Chain common hat keine default policy gesetzt und es gibt einige Reject.

Deine Ports passen auch zu denen in der Chain common...

Hey,

besten Dank für die Info cane:-D Dann scheint die Shorewall-Version wohl etwas fehlerhaft zu sein, wenn sie die eigentlich Aufgabe: IPChains anständig konfigurieren, nicht bewältigt:-\

Ich werd dann mal ein anständiges IPChains/IPTabels HowTo in Angriff nehmen. Wird mir sicher weiterhelfen.

THX und Cya
NUPSI

Guck Dir mal Harry´s Iptables Generator auf http://www.harry.homelinux.org/ an...

Wenn du mehr zu Iptables wissen willst hier das sehr gute Buch Linux Firewalls - Ein praktischer Einstieg von Oreilly zum FREIEN DOWNLOAD :)

http://www.oreilly.de/openbook/

mfg
cane

Die einzige Shorewall von Mandrake, die bei mir sauber funktioniert hat, war die von Mandrake 8.0 aus 2001.

Such bei www.rpmseek.com nach der für Dich passenden Guarddog. Ich habe die gerade ausprobiert und mit dem Sygate Firewalltest gequält. Die ist dicht (ich weiss, das gibt es nur bei Hardwarefirewalls...)

Hallo,

soweit ich mich erinner ist port 113 für den ident reserviert.

Dies benutzen einige IRC Server noch um zu versuchen, den client zu identifizieren. Dazu senden sie eine Anfrage an den ident Port. Wenn dieser auf DROP (stealth) steht, sendet der Server noch eine. Damit kann es mehrere Minuten dauern, bis der Server aufgibt und weitermacht mit connecten. Wenn das teil auf reject steht, kommt zurück dass der Port zu ist, der IRC Server akzeptiert es und macht gleich weiter.
Hab ich irgendwo mal so aufgeschnappt, klingt aber nicht schlecht :D

Soviel zum 113 und sinnvollen Einstellungen, vielleicht gibt es für die anderen Ports ähnliche Erklärungen...?

/EDIT: warum hat hier eigentlich wieder jemand eine Leiche ausgegraben?

Gruss Robert