PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Personal Firewall



Seiten : [1] 2 3

drohner1983
09.04.02, 15:48
Hallo Leute...

Standartmäßige Installation von Linux 7.3 mit Personal Firewall. Schön und gut, aber beim booten gibt es folgende Ausgabe:

Personal Firewall unused

So, jetzt würde ich das Ding doch gerne mal aktivieren, da ich später wenn ich das mal alles auf die Reihe kriege und die Telekom mein DSL freigeschaltet hat, nen Linux Server an mein Hausnetzwerk hängen will (so langsam muss ja mal die Umstellung von Win nach Lin erfolgen ;-)

So, wer kann mir mal kurz beschreiben wie ich die Firewall konfigurieren kann, oder welche Möglichkeiten vieleicht sogar besser sind meine Netz zu schützen.

Newbie2001
09.04.02, 21:09
nun ja die beste Möglichkeit sich vor den Gefahren im Netz zu schütz ist wohl eindeutig das netz nicht zu nutzen, aber wer möchte darauf schon verzichten :D. Die personal Firewall wird über "/sbin/SuSEpersonal-firewall" gestartet und lässt sich über /etc/rc.config.d/security.rc.config konfigurieren. Die beste Möglichkeit sich zu schützen jedoch wäre ein IPTABLES Skript, diese kann man selbst schreiben oder von der SuSEfirewall2 automatisch genrieren lassen. Die SuSEfirewall2 kann man als rpm unter ftp://ftp.suse.com/pub/people/garloff/linux/SuSE/RPMS/SuSEfirewall2-2.1-0.noarch.rpm herunterladen. dann nur noch installieren und in der /etc/rc.config START_FW2="yes" setzen und die Firewall unter /etc/rc.config.d/firewall2.rc.config einstellen und mit "rcSuSEfirewall2 start" starten.

drohner1983
10.04.02, 11:27
Ok, danke,



werd ich mal testen. Änder mal deinen Nick um, der passt anscheinend nicht mehr :p

Newbie2001
10.04.02, 15:24
naja würd ich auch gerne, geht aber leider net.

THE_LINUX_NEWBIE
23.04.02, 15:28
Um kein extra Thema zu eröffnen poste ich es einfach mal hier rein:
Ich möchte die Peronal Firewall zu laufen bekommen bei mir steht auch
starting personal firewall unused

Und zwar habe ich SuSE Linux 8.0 Prof.
Immer wenn ich da mit YaST2 die Firewall konfigurieren möchte, dann ist alles irgentwie dicht, d.h.alle Ports und mein Proxy Squid kann auch nicht weiterleiten :(

Ich erhoffe, dass das bei der peronal firewall nicht so schwer ist.
Oder reicht bzw. schütz mich auch die pure installation von iptables???

Newbie2001
23.04.02, 15:35
nun dazu kann ich folgendes sagen:
Wenn du irgendwelche Ports forwarden willst dann bist du bei der Personal-Firewall an der falschen Stelle, dort gibt es zwar nur eine Option zu konfigurieren, dafür musst du aber über alle komplexeren Funktionen verzeichten. Ich empfehle dir die SuSEfirewall2 die müsste bei 8.0 eigentlich schon installiert sein. Konfigurieren kannste die SuSEfirewall2 in der /etc/rc.config.d/firewall2.rc.config. Die conf-file ist recht gut dokumentiert. Ansonsten siehe man SuSEfirewall2. Port-Forwarding ist mit der SuSEfirewall2 auch kein Problem, falls du Hilfe brauchst kann ich dir hier mal meine Hilfe anbieten.

THE_LINUX_NEWBIE
23.04.02, 15:50
Ich sehe gleich mal dannach, ich habe noch eine Frage die nicht dazu gehört, die ich aber trotzdem mal stellen möchte:
Wo ist die rc.config ab?
Es liegt zwar eine in /etc/, da steht aber nur noch das drin:
#
# /etc/rc.config
#
# Copyright (c) 1996-2002 SuSE Linux AG Nuernberg, Germany.
# All rights reserved.
#
# Author: Werner Fink <werner@suse.de>, 1996
# Burchard Steinbild <feedback@suse.de>, 1996
#
# Configuration database for shell scripts in /etc/init.d, /sbin/SuSEconfig
# and /etc/cron.daily/aaa_base*
#
# Please edit this file and execute /sbin/SuSEconfig to configure everything.
#



#
# Attention! This variable PATH is NOT setting the PATH for user or root
# shells. It is only used internally for /etc/init.d/*, SuSEconfig and
# cron.daily. Please do NOT change PATH here.
#
PATH=/sbin:/bin:/usr/sbin:/usr/bin

##
## Formatting the boot script messages, see /etc/rc.status.
## Source /etc/rc.status if rc_done isn't defined
##
test "$rc_done"= = = -a -e /etc/rc.status && . /etc/rc.status

Newbie2001
23.04.02, 16:04
oh, oh das sieht nicht so gut aus. Wie haste denn das geschafft das die abnhanden kommt ? Ein SuSE System nimmts mit der rc.config sehr genau, wenn die weg ist, hast du ein Problem. Zum Beispiel startet er dann viele der Services nicht mehr. Ich glaube nicht dass dein System beim nächsten Neustart noch ordentlich hochläuft. Lass es daher lieber mal an. Gibt es in /etc irgend eine rc.config.backup-irgendeines-programmes. Wenn ja dann verwende die, wenn sie aktuell genug ist. Ansonsten denke ich dass SuSE bestimmt irgendwo noch n backup von der datei hat ich weiß aber leider nicht wo.

THE_LINUX_NEWBIE
23.04.02, 16:09
Konfigurieren kannste die SuSEfirewall2 in der /etc/rc.config.d/firewall2.rc.config
Ich habe diese Datei, bzw. den Pfad nicht gefunden :(
Ich habe nur einen Ordner /etc/rc.d/
Und da habe ich dann
die Dateien:
SuSEfirewall2_final
SuSEfirewall2_init
SuSEfirewall2_setup

Ich habe es mir brennen lassen, habe deshalb keine Handbücher, deswegen frage ich.


Ich glaube nicht dass dein System beim nächsten Neustart noch ordentlich hochläuft
Mein System fährt ohne eine Fehlermeldung reibungslos hoch.
Ich glaube nur, dass sie in SuSE 8.0 alles verändert haben, was nicht Niet & Nagelfest war :(

Newbie2001
23.04.02, 16:22
achso du hast SuSE 8.0. Na dann interessiert dich die rc.config ja nicht, in der 8.0 wird alles via /etc/sysconfig/ konfiguriert. Die SuSEfirewall2 Konfigurationsdatei scheint unter 8.0 wohl inh einem anderem verz. zu liegen als in der 7.x, daher kann ich dir diesbzüglich leider nicht helfen. Ruf mal die "man SuSEfirewall2" auf. Villeicht steht da ja was über den Pfad für die Konfigurationsdatei drin.

THE_LINUX_NEWBIE
23.04.02, 16:26
Ich habe es von Anfang an geschrieben, dass ich 8.0 Prof. habe.

Die Manpage kann ich nicht aufrufen:

linux:~ # man SuSEfirewall2
No manual entry for SuSEfirewall2
linux:~ #

PeterB
23.04.02, 16:27
was /etc/rc.config angeht, da hat sich bei der 8er Version von SuSE was geändert. Zu lesen unter:

http://www.suse.de/de/products/suse_linux/i386/new_features.html

u.a.

"Weitere Neuerungen und Verbesserungen
...
Konzept der bisherigen /etc/rc.config komplett überarbeitet: Aufsplittung in mehrere Konfigurationsdateien im neuen Verzeichnis /etc/sysconfig"

THE_LINUX_NEWBIE
23.04.02, 16:32
Naja, ob sich das bezahlt machen tut, werden wir noch sehen.
mal sehen was aus der Firewall 2 wird.

Newbie2001
23.04.02, 16:34
mist, existiert dann wenigsten dieser Pfad ?
/usr/share/doc/packages/SuSEfirewall2
dort findest du ne example-config in der steht auch oben der Pfad drin, wo sie hingehört. Villeicht hilft uns das weiter.

THE_LINUX_NEWBIE
23.04.02, 16:39
Ja *juhuuuuuu* die ist da, kann ich die dann erstmal zu testzwecken in die Echte Datei reinpacken und sie dann mir ggf. konfigurieren?

Newbie2001
23.04.02, 16:54
naja probieren kannste es ja mal, wenns nicht funzt, sollteste wohl doch besser was konfigurieren ;) . Die config-file ist ja zum Glück ganz gut kommentiert, solltest du trotzdem noch Probs haben, dann frag.

THE_LINUX_NEWBIE
23.04.02, 17:12
Schade derzeit kann ich nicht dran KOnfigurieren (mein Proxy läuft und Leute hängen dahinter, die wollen nicht, dass denen auf einmal der Saft abgeklemmt wird).

Fang aber gleich mal an.

martin
23.04.02, 17:25
Du kannst die Suse firewall2 doch über Yast2 konfigurieren.

THE_LINUX_NEWBIE
23.04.02, 17:35
Ach hör bloß auf, ich hab es versucht: nichts.
Ich habe gesagt welches eth auf INternet Zeigt und welches aufs Netzwerk zwecks Proxy Zeigt, wenn ich dan selber eine URL anwähle blockt er alles.

Newbie2001
23.04.02, 19:05
du darfst beim FW_DEV_EXT nicht eth1 oder eth0 oder sowas angeben sondern ppp0 sonst läuft nix. Schick mir mal deine conf, dann kann ich dir helfen.

THE_LINUX_NEWBIE
23.04.02, 19:19
Welche .conf soll ich wohin schicken (E-Mail Adresse).?

Newbie2001
23.04.02, 19:47
naja ich würde sie mal hier prosten, dann haben alle was davon. Poste die firewall-config file die du verwendest.

THE_LINUX_NEWBIE
23.04.02, 20:05
#
# 1.)
# Should the Firewall be started?

#
# 2.)
# Which is the interface that points to the internet/untrusted networks?
#
# Enter all the network devices here which are untrusted.
#
# Choice: any number of devices, seperated by a space
# e.g. "eth0", "ippp0 ippp1 eth0:1"
#
FW_DEV_EXT=""

#
# 3.)
# Which is the interface that points to the internal network?

# Choice: leave empty or any number of devices, seperated by a space
# e.g. "tr0", "eth0 eth1 eth1:1" or ""
#
FW_DEV_INT=""

#
# 4.)
# Which is the interface that points to the dmz or dialup network?
FW_DEV_DMZ=""

#
# 5.)
# Should routing between the internet, dmz and internal network be activated?
# REQUIRES: FW_DEV_INT or FW_DEV_DMZ

# Choice: "yes" or "no", defaults to "no"
#
FW_ROUTE="no"

#
# 6.)
# Do you want to masquerade internal networks to the outside?
# REQUIRES: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE

# Choice: "yes" or "no", defaults to "no"
#
FW_MASQUERADE="no"
#
# You must also define on which interface(s) to masquerade on. This is
# normally your external device(s) to the internet.
# Most users can leave the default below.
#
# e.g. "ippp0" or "$FW_DEV_EXT"
FW_MASQ_DEV="$FW_DEV_EXT"

FW_MASQ_NETS=""


FW_PROTECT_FROM_INTERNAL="yes"


FW_AUTOPROTECT_SERVICES="yes"

#
# 9.)
# Which services ON THE FIREWALL should be accessible from either the internet
# (or other untrusted networks), the dmz or internal (trusted networks)?
# (see no.13 & 14 if you want to route traffic through the firewall) XXX

# Common: smtp domain
FW_SERVICES_EXT_TCP=""
# Common: domain
FW_SERVICES_EXT_UDP="" # Common: domain
# For VPN/Routing which END at the firewall!!
FW_SERVICES_EXT_IP=""
#
# Common: smtp domain
FW_SERVICES_DMZ_TCP=""
# Common: domain
FW_SERVICES_DMZ_UDP=""
# For VPN/Routing which END at the firewall!!
FW_SERVICES_DMZ_IP=""
#
# Common: ssh smtp domain
FW_SERVICES_INT_TCP=""
# Common: domain syslog
FW_SERVICES_INT_UDP=""
# For VPN/Routing which END at the firewall!!
FW_SERVICES_INT_IP=""

#
# 10.)
# Which services should be accessible from trusted hosts/nets?

FW_TRUSTED_NETS=""

#
# 11.)

# Choice: "yes", "no", "DNS", portnumber or known portname, defaults to "no"
# if not set
#
# Common: "ftp-data", better is "yes" to be sure that everything else works :-(
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
# Common: "DNS" or "domain ntp", better is "yes" to be sure ...
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"

#
# 12.)
# Are you running some of the services below?

# Set services you are running to "yes", all others to "no", defaults to "no"
# if not set.
#
FW_SERVICE_AUTODETECT="yes" # Autodetect the services below when starting
#
# If you are running bind/named set to yes. Remember that you have to open
# port 53 (or "domain") as udp/tcp to allow incoming queries.
# Also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes"
FW_SERVICE_DNS="no"
#
# if you use dhclient to get an ip address you have to set this to "yes" !
FW_SERVICE_DHCLIENT="no"
#
# set to "yes" if this server is a DHCP server
FW_SERVICE_DHCPD="no"
#
# set to "yes" if this server is running squid. You still have to open the
# tcp port 3128 to allow remote access to the squid proxy service.
FW_SERVICE_SQUID="no"
#
# set to "yes" if this server is running a samba server. You still have to open
# the tcp port 139 to allow remote access to SAMBA.
FW_SERVICE_SAMBA="no"

#
# 13.)
# Which services accessed from the internet should be allowed to the
# dmz (or internal network - if it is not masqueraded)?

FW_FORWARD=""

#
# 14.)
# Which services accessed from the internet should be allowed to masqueraded
# servers (on the internal network or dmz)?
FW_FORWARD_MASQ=""

#
# 15.)
# Which accesses to services should be redirected to a localport on the
# firewall machine?

FW_REDIRECT=""

#
# 16.)
# Which logging level should be enforced?

# Choice: "yes" or "no", FW_LOG_*_CRIT defaults to "yes",
# FW_LOG_*_ALL defaults to "no"
#
FW_LOG_DROP_CRIT="yes"
#
FW_LOG_DROP_ALL="no"
#
FW_LOG_ACCEPT_CRIT="yes"
#
FW_LOG_ACCEPT_ALL="no"
#
# only change/activate this if you know what you are doing!
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"

#
# 17.)
# Do you want to enable additional kernel TCP/IP security features?

FW_KERNEL_SECURITY="yes"

#
# 18.)
# Keep the routing set on, if the firewall rules are unloaded?

# Choices "yes" or "no", defaults to "no"
#
FW_STOP_KEEP_ROUTING_STATE="no"

#
# 19.)
# Allow (or don't) ICMP echo pings on either the firewall or the dmz from
# the internet? The internet option is for allowing the DMZ and the internal
# network to ping the internet.
# REQUIRES: FW_ROUTE for FW_ALLOW_PING_DMZ and FW_ALLOW_PING_EXT
#
# Choice: "yes" or "no", defaults to "no" if not set
#
FW_ALLOW_PING_FW="yes"
#
FW_ALLOW_PING_DMZ="no"
#
FW_ALLOW_PING_EXT="no"

##
# END of rc.firewall
##

#
# 20.)
# Allow (or don't) ICMP time-to-live-exceeded to be send from your firewall.
# This is used for traceroutes to your firewall (or traceroute like tools).
#
# Please note that the unix traceroute only works if you say "yes" to
# FW_ALLOW_INCOMING_HIGHPORTS_UDP, and windows traceroutes only if you say
# additionally "yes" to FW_ALLOW_PING_FW
#
# Choice: "yes" or "no", defaults to "no" if not set.
#
FW_ALLOW_FW_TRACEROUTE="yes"

#
# 21.)
# Allow ICMP sourcequench from your ISP?
#
# If set to yes, the firewall will notice when connection is choking, however
# this opens yourself to a denial of service attack. Choose your poison.
#
# Choice: "yes" or "no", defaults to "yes"
#
FW_ALLOW_FW_SOURCEQUENCH="yes"

#
# 22.)
# Allow/Ignore IP Broadcasts?
#
# If set to yes, the firewall will not filter broadcasts by default.
# This is needed e.g. for Netbios/Samba, RIP, OSPF where the broadcast
# option is used.
# If you do not want to allow them however ignore the annoying log entries,
# set FW_IGNORE_FW_BROADCAST to yes.
#
# Choice: "yes" or "no", defaults to "no" if not set.
#
FW_ALLOW_FW_BROADCAST="no"
#
FW_IGNORE_FW_BROADCAST="yes"

#
# 23.)
# Allow same class routing per default?
# REQUIRES: FW_ROUTE
#
# Do you want to allow routing between interfaces of the same class
# (e.g. between all internet interfaces, or all internal network interfaces)
# be default (so without the need setting up FW_FORWARD definitions)?
#
# Choice: "yes" or "no", defaults to "no"
#
FW_ALLOW_CLASS_ROUTING="no"

#
# 25.)
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"

THE_LINUX_NEWBIE
23.04.02, 20:06
Ich habe die Auskomentierten Fragen und Optionen gekürtzt, damit es hier nicht allzu lang wird.

-_-_-_-_-_-_-_INFOS:-_-_-_-_-_-_-_-_-_-_-_


Und nun wie es bei mir aussieht:
eth1 ist die Netzwerkkarte für meine DSL Anbindung
eth0 und eth2 zeigen aufs Netzwerk, damit ich die PCs mit Internet versorgen kann (squid).

Newbie2001
23.04.02, 20:24
bevor ich dir sagen kann wie die konfigurations-datei richtig aussehen muss bräuchte ich noch ein paar infos.
1. Willst du Squid als transparenten Proxy beteiben ? (Also mit Port Redirection)
2. Wie heißen das Subnetz(e) in dem deine cleints liegen ?
3. Hast du einen DNS-Server oder Samba oder nen dhcp-server am laufen ?

Newbie2001
23.04.02, 20:25
achja und hast du noch ein paar Daemons oder sowas laufen, auf die vom Internet zugegeriffen werden muss (Apache, Proftp, BIND, usw.) ?

THE_LINUX_NEWBIE
23.04.02, 20:44
Ja nur noch einen Apach und dann eben ein FTP Programm (also zu HP bau keine FTP zum saugen von mir) und dann eben den E-Mail Dienst POP3 und SMTP.

Newbie2001
23.04.02, 20:50
also was soll nun von aussen erreichbar sein ? Nur Apache ?
Und was ist mit den 3 Fragen die ich dir da oeben gestellt habe

THE_LINUX_NEWBIE
23.04.02, 20:52
Ach ja, den oberigen Bericht habe ich von dir nicht gelsen:
Ich habe eine Netmask von: 255.255.255.0 auf meinen Netzwerkkarten intern liegen.

Newbie2001
23.04.02, 20:57
das hilft mir nicht weiter, wie wärs mal mit detaillierteren Antworten ich rede vom Ip-Bereich also 192.168.x.x. Und was ist mit squid ? Transparent oder nicht ? Hast du nun nen dhcp oder samba oder dns laufen ?