PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPTables einrichten - bräuchte da mal Hilfe



Strece
29.08.08, 09:45
Guten Morgen Community,

also ich und mein Team haben ein Problem mit unserem Root-Server.
Der Root-Server ist von Strato und es läuft eine 32Bit Debian 4.0 Version drauf.
So nun habe ich mir mal die Seite http://www.harry.homelinux.org/index.php angeschaut und dort den IPTable Generator, da der sehr gut sein soll.

Mein Problem ist, ich weiß leider nicht wie das Externe und Lokale Interface des Root-Server ist, "ifconfig" gibt mir folgendes aus.


eth0 Protokoll:Ethernet Hardware Adresse 00:1B:21:0A:10:82
inet Adresse:81.169.141.61 Bcast:81.169.141.61 Maske:255.255.255.255
inet6 Adresse: fe80::21b:21ff:fe0a:1082/64 Gültigkeitsbereich:Verbindung
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:454339 errors:0 dropped:0 overruns:0 frame:0
TX packets:283304 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:296417878 (282.6 MiB) TX bytes:20935634 (19.9 MiB)
Basisadresse:0x9000 Speicher:f2020000-f2040000

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)


Das Interface eth0 scheint das Externe zu sein, aber das Interface lo das Lokale lässt sich sich in dem Generator nicht auswählen.
Ich habe das Script mit einer anderen Einstellung getestet, nur nach dem Start war der SSH Port blockiert und ich musste es wieder deaktivieren.

Es würde mir sehr helfen wenn mir jemand helfen könnte das richtige Interface zu finden, bzw. wie ich es einstelle wenn es nicht vorhanden ist im Generator.

PS: Ich hoffe ich habe kein altes und schon oft angesprochenes Thema wieder erweckt, die Suche hat nur leider nichts für meine Bedürfnisse gefunden.

Mit freundlichen Grüßen,

Markus W.

Roger Wilco
29.08.08, 10:13
Mein Problem ist, ich weiß leider nicht wie das Externe und Lokale Interface des Root-Server ist
http://root-und-kein-plan.ath.cx/


Das Interface eth0 scheint das Externe zu sein, aber das Interface lo das Lokale lässt sich sich in dem Generator nicht auswählen.
Dann wähle kein lokales Interface aus. Davon abgesehen weißt du schon, dass Harry's iptables-Generator in erster Linie für kleine, private LANs und nicht für dedizierte Server konzipiert ist?

Warum wollt ihr überhaupt einen Paketfilter auf dem Root-Server installieren?

Strece
29.08.08, 10:37
Danke für die schaden freudige Seite
Weil wir, um uns vor kleineren Angriffen zu schützen gerne einen kontrollierten Datenverkehr haben wollen.
Wir hatten schonmal früher einen unfreiwilligen Zugriff, den wir aber durch checken der MD5 Checksum und der Log Files aufdecken konnten, nur der Schaden war angrichtet.

Das es für private Netzwerke ist weiß ich auch ich hätte es auch nicht so übernommen sondern noch verändert.

Wenn jemand aber ne bessere Lösung kennt, dann bitte postet sie mir, ich bin für jede Verbesserung offen.

muell200
29.08.08, 10:47
Wenn jemand aber ne bessere Lösung kennt, dann bitte postet sie mir, ich bin für jede Verbesserung offen.

- das system sicher aufsetzen und alle dienste absichern
- in die materie einlesen, lesen und verstehen und dann ein system aufsetzen
- jemand machen lassen, der was davon versteht :)
( sorry koennte ich mir nicht verkneifen )

Strece
29.08.08, 10:51
Danke das alle direkt denken wenn man eine Sache nicht auf Anhieb versteht, man direkt nichts kann.
Wünsche noch nen schönen Tag und werde nun wieder an die Arbeit gehen.

marce
29.08.08, 10:52
Mal ernsthaft: Was erwartest Du _konkret_ von der Firewall?

... und genau so ernsthaft: Die Leute hier haben einen Grund, warum sie nach dem Sinn und Zweck der Firewall fragen.

Strece
29.08.08, 10:57
Ich erwarte nicht von der Firewall, das ich die einrichte und dann mich zurücklehnen kann, denkt ihr ich bin blöd.
Ich meine nur das ich mit einer Firewall schon mal einen weiteren Sicherheitsaspekt abdecken kann, ich erwarte von der Firewall das Attacken wie DOS oder DDOS seltener auftreten und auch Zugriffs versuche vermieden werden und nicht das die Firewall 100% sicher ist und ich nichts mehr am root machen muss.
Ich weiß wieviel Arbeit das ist und das man mehr machen muss als nur ne Firewall aufsetzen und ich bin nicht alleine sondern wir sind ein Team aus mehreren Leuten, aber wie es scheint glaubt ihr ich hätte keine Ahnung.

Mfg, Strece

marce
29.08.08, 11:01
(1) Eine Standard-Firewall hilft nicht gegen DOS
(2) Eine Standard-Firewall hilft nicht gegen DDOS
(3) Eine Standard-Firewall hilft auf einem gut eingerichteten System nicht gegen "Zugriffs versuche"(*)

(*) Bsp.: Der Server bietet http an - also muss der Port offen sein. Was soll also da eine Firewall ausrichten?



aber wie es scheint glaubt ihr ich hätte keine Ahnung.
mal ehrlich, bei dieser Aussge

Mein Problem ist, ich weiß leider nicht wie das Externe und Lokale Interface des Root-Server ist
fällt es einem schwer, etwas anderes zu glauben...

ArtMagic
29.08.08, 12:16
Hi Markus Strece,

also hör am besten nicht auf marce und Roger Wilco , ich denke das ist ehe eine Person .. und 2. geben die keine ernsten hilfen, sondern stellen dich immer nur dumm dar ..

Eine Firwall muss und soll auch auf jedem fall auf einem Root Server laufen ... lass dich nicht von denn 2en veralbern ....

eth0 ist deine netzwerkkarte und lo ist eine virtueles interface (127.0.0.1)
ich würde dir emfehlen ISPConfig einzusetzen, da ist auch ein nettes Web-interface
für die Firewall verwaltung und ansonsten kannst du mit hilfe von http://www.howtoforge.de/ ein sauberes und sicheres system aufsetzen.

Nichts desto trotz musst du dich mit der materie beschäftigen ... also nur mut und viel glück ...

gruß Goran

marce
29.08.08, 12:22
also hör am besten nicht auf marce und Roger Wilco , ich denke das ist ehe eine Person .. und 2. geben die keine ernsten hilfen, sondern stellen dich immer nur dumm dar ..
Das wüssten wir aber :-)


Eine Firwall muss und soll auch auf jedem fall auf einem Root Server laufen ... lass dich nicht von denn 2en veralbern ....
Muss? Aha.

muell200
29.08.08, 12:40
Eine Firwall muss und soll auch auf jedem fall auf einem Root Server laufen ... lass dich nicht von denn 2en veralbern ....


man lernt nie aus. :)

dachte immer, dass eine firewall ein netzwerk schuetzt und nicht einen einzelnen pc/server

ausserdem ist eine "firewall" ein ganzes system ( dmz,... )

du meinst mit dem begriff "firewall" bestimmt einen paketfilter
iptables ist "nur" ein paketfilter



eth0 ist deine netzwerkkarte und lo ist eine virtueles interface (127.0.0.1)


wo er recht hat, hat er recht

@Strece wollte wissen welches device das externe ist:

eth0 ist bei dir das externe device
( wie wollen ja helfen )

p.s.: ( wenn es interessiert )
noch 4 stunden, dann gehe ich 2 wochen in meinen sommerurlaub!!

cane
29.08.08, 12:54
Eine Firwall muss und soll auch auf jedem fall auf einem Root Server laufen ... lass dich nicht von denn 2en veralbern ....

Wie kommst du zu dieser absolut falschen Aussage?

Auf keinem einzigen meiner Server, egal ob Rechenzentrum, LAN oder DMZ läuft eine "Firewall".

Dienste sauber konfigurieren und fertig, das ist besser investierte Zeit.

mfg
cane

ArtMagic
29.08.08, 13:22
ok .. ok .. die aussage mit MUSS ist natürlich falsch ...

hmm .. das ihr auch jedes wort auf die wage stellt :)

sagen wir das mal so .. in der regel ist bei den "normalen-Unix-Admins" eine
Firewall (ich koriegiere, ein Paket-Filter Programm) installiert.

Da der "normalen-Unix-Admin" nicht für jeden auf der maschine installierten dienst die hand ins feuer legt.

Aber das schöne ist ja jeder kannst machen wie er will und denkt.. er erntät ja auch die arbeit die daraus erfolgt :D

Also ich bin der meinung auf jeder *nix kiste sollte ein packet filter laufen...
aber man muss das natürlich nicht machen ...



eth0 ist bei dir das externe device
( wie wollen ja helfen )


war meine aussage falsch ?? oder wie soll ich -->eth0 ist bei dir das externe device <-- verstehn ?? bei mir ist es falls es dich interessiert eth4 ... aber laut seinem ifconfig auszug ist es bei ihm eth0 würde ich sagen ...

ach ja muell schönen urlaub ... ;)

muell200
29.08.08, 13:40
Da der "normalen-Unix-Admin" nicht für jeden auf der maschine installierten dienst die hand ins feuer legt.


stimmt ich kann nicht fuer jeden dienst meine hand ins feuer legen
aber ich installiere kein pogramm, das nicht mehr gepfelgt wird und es keine sicherheitsupdates mehr gibt....



Also ich bin der meinung auf jeder *nix kiste sollte ein packet filter laufen...
aber man muss das natürlich nicht machen ...


mhh, was soll das bringen?
wie @marce schon geschrieben hat, wenn ein dienst angeboten wird dann laesst der paketfilter den dienst zu.
wenn ein dienst nicht angeboten wird, dann ist er erst gar nicht aktiviert bzw. installiert.



war meine aussage falsch ?? oder wie soll ich -->eth0 ist bei dir das externe device <-- verstehn ?? bei mir ist es falls es dich interessiert eth4 ... aber laut seinem ifconfig auszug ist es bei ihm eth0 würde ich sagen ...


deine aussage war richtig.
nur @Strece frage im ersten post nach dem externen device



ach ja muell schönen urlaub ... ;)

danke - noch 3 stunden :)

Roger Wilco
29.08.08, 17:59
also hör am besten nicht auf marce und Roger Wilco , ich denke das ist ehe eine Person
Tatsächlich sind alle Forenbenutzer, die länger als 4 Jahre dabei sind und eine vier- oder höherstellige Anzahl an Beiträgen haben, die gleiche Person. Nur eben mit multiplen Persönlichkeiten. Aber Schizophrenie ist nichts, worüber man Witze macht!!!1!elf!!!

*SCNR*

403
29.08.08, 18:32
jetzt muss ich mal wieder den user wechseln ;)

marce
29.08.08, 19:47
kommt jetzt die 404 oder bist Du doch bla!zilla? :-)


Tatsächlich sind alle Forenbenutzer, die länger als 4 Jahre dabei sind und eine vier- oder höherstellige Anzahl an Beiträgen haben, die gleiche Person. Nur eben mit multiplen Persönlichkeiten. Aber Schizophrenie ist nichts, worüber man Witze macht!!!1!elf!!!

*SCNR*
Ertappt - Du hast falsch unterschrieben. Du bist also *SCNR* - vermutlich gehören die User ROFL und PEBKAC auch Dir? Jaja...

cane
29.08.08, 20:11
Ertappt - Du hast falsch unterschrieben. Du bist also *SCNR* - vermutlich gehören die User ROFL und PEBKAC auch Dir? Jaja...


Ich bin drei - leg dich bloß nicht mit mir an :ugly:

mfg
cane!zilla404

403
29.08.08, 21:06
Wir posten doch alle als bla!zilla :ugly:

:)

Strece
30.08.08, 01:38
Wie es scheint habe ich ein ganz schönes Feuergefecht gestartet, das war nicht meine Absicht trotzdem danke an alle die mir Tipps gegeben haben.
Also dank an ArtMagic, muell200

So habe nun selber den Server so gut wie es geht mit meinem Wissen abgesichert, Dienste sauber konfiguriert und noch nen paar Kleinigkeiten.

Mfg, Markus

Wünsche noch nen schönen Abend und Gute Nacht.

williweb
30.08.08, 17:26
nun ja, auch wenn du es selbst geschaft hast.
vieleicht hilft es anderen, hier gibt es ein FW script das man nur anpassen
muss.

http://www.malibyte.net/iptables/scripts/fwscripts.html

schönes Wochenende

bla!zilla
31.08.08, 11:05
Verdammt, bin ich zu spät oder darf ich noch meinen Senf dazu abgeben???


(1) Eine Standard-Firewall hilft nicht gegen DOS
(2) Eine Standard-Firewall hilft nicht gegen DDOS
(3) Eine Standard-Firewall hilft auf einem gut eingerichteten System nicht gegen "Zugriffs versuche"(*)

(*) Bsp.: Der Server bietet http an - also muss der Port offen sein. Was soll also da eine Firewall ausrichten?

ACK!


also hör am besten nicht auf marce und Roger Wilco , ich denke das ist ehe eine Person .. und 2. geben die keine ernsten hilfen, sondern stellen dich immer nur dumm dar ..

Eine Firwall muss und soll auch auf jedem fall auf einem Root Server laufen ... lass dich nicht von denn 2en veralbern ....

Totaler Quatsch. Du solltest aufhören Wie-schütze-ich-meinen-Windows-Rechner-vor-Angriffen-die-keine-sind-Praktiken auf Rootserver zu übertragen.


sagen wir das mal so .. in der regel ist bei den "normalen-Unix-Admins" eine
Firewall (ich koriegiere, ein Paket-Filter Programm) installiert.

Da der "normalen-Unix-Admin" nicht für jeden auf der maschine installierten dienst die hand ins feuer legt

Wieder totaler Quatsch, sorry. Normalerweise hat sowas auf einer Maschine gar nichts zu suchen. Man sollte sich eher darauf verlassen, dass man die Dienste sicher konfiguriert hat. Dienste die nicht öffen sind, müssen nicht geschützt werden. Und eine Anwendung, die erstmal sämtlichen Verkehr nach Außen blockt, hilft dir zwar vielleicht bei einem DDoS Angriff _von_ deinem System aus, aber auch nur dann, wenn dieser über Ports stattfindet, die auch von deinem System ausgehend geblockt sind. Aber wie soll jemand deine Maschine als DDoS Bot missbrauchen, wenn sie sicher konfiguriert ist?

Dahingehen war der http://root-und-kein-plan.ath.cx Link schon ganz okay.

marce
01.09.08, 07:13
So habe nun selber den Server so gut wie es geht mit meinem Wissen abgesichert, Dienste sauber konfiguriert und noch nen paar Kleinigkeiten.
rein aus Interesse: Was hast Du denn nun alles unternommen, welche und wie sind die Konfigurationen der Dienste?

Harry
07.09.08, 01:46
Wieder totaler Quatsch, sorry. Normalerweise hat sowas auf einer Maschine gar nichts zu suchen.
Also die Aussage ist jetzt aber auch nicht gerade objektiv :D
Hier mal nur drei (subjektive) Gründe, warum ein Paketfilter auch auf einer einzelnen Maschine Sinn machen kann:

1. Wenn man sich z.B. die Tatsache vor Augen hält, dass reguläre IP-Stacks ab und an Sicherheitslücken aufweisen, dann schützt ein gut konfigurierter Paketfilter u.U. sogar Teile des IP-Stacks vor möglichen Exploits o.ä. Dafür brauchts dann schon ein sehr detailliertes KnowHow über die Materie, damit der Paketfilter IP-Datagramme RFC-konform beantwortet. Sowas macht weder mein iptables Generator out of the box noch andere Filtergeneratoren, die ich bisher kenne.

2. Bei Einsteigern in diese Materie wiederum kann ich mir gut vorstellen, dass die gar nicht so recht wissen, welche Dienste auf der Maschine laufen (also auch über den IP-Stack erreichbar sind) und daher erstmal einen Paketfilter einsetzen, um neben den gewünschten Diensten evtl. vorhandene andere zunächst mal zu sperren. (Ich vermute mal, dass dies auf Markus' Anfrage zutrifft)

3. Ebenfalls kann ich mir einen Paketfilter sehr gut vorstellen, um gewisse IP-Datagramme zu loggen, falls das gewollt ist.

Greez
Harry
*nu hab ich mich mal hier eingeloggt* ;)