Ich habe mir nach der Anleitung im Kofler ein kleines Script mit iptable-Regeln zusammengestellt, das mich vor Angriffen von aussen schützen soll. An meinem PC hängen aber noch zwei Windows-Rechner. Könnte sich jetzt ein Angreifer problemlos über einen dieser Windows-PC Zugang zu meinem PC verschaffen, und schützt mich die Firewall auch davor?

Gruss

Aexl

das liegt wohl erstens an Deine iptables Konfiguration und zweitens wo die firewall läuft und wie die Windowsrechner ins Netz gehen.

So aus dem Bauch heraus würde ich sagen, dass über die Windowsrechner auf Deinem Rechner zugegriffen werden kann.

Hier meine ganz einfache Konfiguration:

IPT=/usr/sbin/iptables
INET=eth0

$IPT -N wall
$IPT -A wall -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A wall -m state --state NEW -i ! $INET -j ACCEPT
$IPT -A wall -j DROP

$IPT -A INPUT -j wall
$IPT -A FORWARD -j wall

Alle drei PCs gehen über einen Hardware-Router ins Internet, der somit auch alle drei miteinander verbindet. Bin ich jetzt von Angriffen über einen Windows-PC ein bisschen besser geschützt oder nicht?

Hallo,

Dein Script ist ein wenig knapp, besser gesagt, für mich wird da nichts geblockt. Du gibst an, dass alle Pakete erlaubt sind und am Ende sagst Du dann der Rest soll gedropt werden.

Eigentlich reicht der Hardwarerouter volkommen aus, da sind die Windowsrechner schon besser geschützt. Sollte trotzdem jemand mal auf eine Windowskiste kommen, was ich bezweifel, hast Du ja einen Linuxrechner der von Hause aus ja schon etwas sicherer ist.

Dein Prinzip wäre: Firewall für alle Rechner und jeder Rechner hat dann noch eine eigene Firewall. Halte ich für überflüssig.

$IPT -A wall -m state --state NEW -i ! $INET -j ACCEPT

Da sagst du, das alle was nicht aus dem Internet kommt erlaubt ist - bedeutet also, das du alles von den Windows Kisten zulässt...

Ich glaube allerdings nicht das dein Linux Rechner gefärdet ist, wenn du hinter nem Hardware Router sitzt - es müsste erstmal jemand an den Windows kisten dran sitzen der deinen Rechner angreifen will - oder jemand müsste eine Windows Kiste übernehmen damit er von dort aus deinen Rechner angreifen kann - wer macht sowas schon bzw. schaffst das schon - der Rechner ist nicht direkt erreichbar, und selbst wenn ihn ein Wurm für ein Bot Net - wie auch immer - infiziert.. die Mühe macht sich keiner...

Wenn du etwas sicherer sein willst fügst du vor

$IPT -A wall -j DROP

noch sowas hier ein:

$IPT -A wall -s [IP WINDOWS Rechner 1] -m state --state NEW -j DROP
$IPT -A wall -s [IP WINDOWS Rechner 2] -m state --state NEW -j DROP

Damit droppst du alles was von den Kisten kommt - ein Angriff sollte dann so ziemlich unmöglich werden ... höchstens nen DOS würde noch gehen afaik.

Wieso wird in meinem Skript nichts geblockt?
Wenn ich "$IPT -A wall -j DROP" an den Anfang nehme, komme ich nicht mehr ins Internet.
Wie muss ich es denn abändern, damit es etwas bringt?

Und was macht denn ein Hardware-Router so sicher?

Wieso wird in meinem Skript nichts geblockt?


Les dich in IP Tables hinein.. das einzige was noch gefährlicher als keine Firewall ist, eine firewall bei der man nicht weiss ob sie so funktioniert, wie sie soll, bzw. wenn man nicht weiss wie sie funktioniert.. du sagst in deinem Regelwerk ,das er alle neuen Verbindungen akzeptieren soll, die nicht vom Internet Interface kommen... Was das bei nem Hardware Router soll, weiss ich nicht... macht eigentlich nur Sinn, wenn der Linux Rechner ein router ist- weil er nur dann mehrer Interface hat...



Wenn ich "$IPT -A wall -j DROP" an den Anfang nehme, komme ich nicht mehr ins Internet.


ja - weil du dann alles droppst...



Wie muss ich es denn abändern, damit es etwas bringt?


Les dich in IP Table rein... es gibt eine Reihe guter Howto's zu dem Thema... das ist viel zum umfangreich um es mal eben zu erklären...



Und was macht denn ein Hardware-Router so sicher?

Ein Hardwarerouter ist die einzige Schnittstelle zum Internet.. von aussen sind deine Rechner nicht direkt ansprechbar und damit nicht angreifbar...deshalb ist man als Privatanwender hinter so einer Kiste ziemlich sicher...

Hallo,
Eigentlich reicht der Hardwarerouter volkommen aus, da sind die Windowsrechner schon besser geschützt. Sollte trotzdem jemand mal auf eine Windowskiste kommen, was ich bezweifel, hast Du ja einen Linuxrechner der von Hause aus ja schon etwas sicherer ist.

Moin,
versteh ich das richtig, dass ein Angreifer aus dem Netz also nicht direkt auf die Rechner zugreifen kann, sofern sie an einem Hardware-Router hängen? Gilt das für jeden Hardware-Router, oder nur für solche, die eine Firewall integriert haben bzw. über spezielle Funktionen verfügen?

Wie man sicherlich merkt, habe ich nicht die geringste Ahnung von sowas. Ich wäre jedenfalls ziemlich erleichtert, da mir das Einrichten eines Software-Routers auf dem Linux-Rechner mit Sicherheit extrem schwer fallen würde, aufgrund von mangelndem Linux-Wissen.

Gruß

MaddoX

Ein Hardwarerouter ist die einzige Schnittstelle zum Internet.. von aussen sind deine Rechner nicht direkt ansprechbar und damit nicht angreifbar...deshalb ist man als Privatanwender hinter so einer Kiste ziemlich sicher...
Also wenn ich das richtig verstehe hat sein Hardwarerouter einen Switch oder Hub integriert an dem seine drei PCs hängen - dabei schützt aber der Hardwarerouter in keiner Weise vor einem Angriff, der von einem dieser anderen beiden Windows-PCs ausgeht und das war doch die Fragestellung, oder?

Okay, verstehe, dass der integrierte Switch vor Zugriffen im lokalem Netz nicht schützt. Aber vor Zugriffen aus dem Internet schützt er. Habe ich das richtig verstanden.

Sorry, wenn meine Fragestellung nicht mit der des Threaderstellers übereinstimmt.

Gruß

MaddoX

Okay, verstehe, dass der integrierte Switch vor Zugriffen im lokalem Netz nicht schützt. Aber vor Zugriffen aus dem Internet schützt er. Habe ich das richtig verstanden.
ja, wobei halt "Schutz" hier nichts absolutes ist ;)
der Hardwarerouter stellt vom Prinzip her eine ähnliche Firewall dar wie deine iptables Firewall weshalb es zweimal hintereinander nicht besonders viel Sinn macht.
diese Arten von Firewalls haben aber auch ihre Nachteile - aber für zu Hause sollte es ausreichend sein :)
ich hab hier zB auch so einen Hardwarerouter (ohne integr. Switch/Hub) und der geht dann an meinen Linuxproxy, der dann vom lokalen Netz aus erreichbar ist - damit hab ich zwei versch. Firewalltypen hintereinander :D
(meint ihr ich übertreibe es? :rolleyes: )

Gruß, f_m

Danke für die klärende Antwort!

Mach ich was falsch, wenn ich mir den D-Link DI-604 als Router zulege. Wundert mich, dass sowas so billig ist?!

Danke für die klärende Antwort!

Mach ich was falsch, wenn ich mir den D-Link DI-604 als Router zulege. Wundert mich, dass sowas so billig ist?!

Ich würde mir einen Router der WRT-Serie von Linksys zulegen.
Da kannst Du eine angepasste Linux-Firmware aufspielen und dann zum Beispiel Iptables oder VLANs nutzen.

mfg
cane