Hi@all

geträu dem Motto "Alles dicht machen und gezielt Ports öffnen" möchte ich nun wissen, wie ich dies umsätze. Am liebsten mit iptables. Also welche Regel muss ich setzen um alles dicht zu machen und dann sachen wie Port 80, 21, etc. wieder zu öffnen und das routing des lokalen netzes ins I-Net zu erlauben.

Wenn ihr mir da helfen könntet wäre ich euch sehr verbunden.

Danke im Voraus
Cu

Unter SuSE 8.0 ist Firewall2 eigentlich ein ganz gutes Tool dafür. Einfach das Teil einrichten und alles blocken und dann systematisch freigeben.

Ich habe eine ganz gute Seite entdeckt, die für einen nach den Sicherheitslöchern sucht:

https://grc.com/x/ne.dll?bh0bkyd2

Gruss

Helge

GRC kannst du vorne und hinten vergessen.
Scan deinen server von einem _anderen_ PC mit nmap.
Mfg,
Air

Hi

1. GRC???

2. Ist Saint bzw SATAN da nicht besser als nmap???

GRC ist ist ein Onlinescanner der Deine Ports durchkämmt!

@AirWulf

Kannst Du mir mal erklären was an GRC so schlecht sein soll? Einfach zu sagen, dass das Teil Schrott wäre ist nicht sehr produktiv.


Gruss

Helge

Ok:

1.) Der Port 139 ist wie angegeben "sau gefaerlich". Was nicht immer stimmt.
2.) Der Scan ist 'billig' Online NMAP scans sind wesentlich umfangreicher. Den bei GRC gibt es nur 1. Scanart.
3.) Es scannt zu wenig (2.)
4.) Die Empfehlen 'Personal Firewalls'

Kann sein das nicht jeder von meiner meinung ueberzeugt ist. Vorallem das Programm wo angeblich von einem Win32 rechner nach ausen Connecten soll - ist ja wohl der allerletzte Witz.


Mfg,
Air

EDIT: Gegenfrage, warum findest du es gut?

Okay das ist sind ziemlich überzeugende Argumente - mal davon abgesehen das klar ist, dass die versuchen gleichzeitig ihr Produkt zu verkaufen (wen wunderts ;) ).

Ich habe allerdings auch noch einen zweiten Onlinescanner den ich für checks verwende (vielleicht interessiert Dich):

http://scan.sygatetech.com/

Den finde ich persönlich besser, aber er dauert länger und deshalb verwende ich meist GRC...

Gruss

Helge

Ich finde GRC gut, weil

- die wichtigsten Ports schnell durchprüft
- er Sicherheitsfehler bzw. Konfigfehler bei Samba (NetBios) anzeigt
- der Scanner übersichtlich den Status der wichtigsten Ports anzeigt (http, ftp, ssh, telnet) stealth, blocked, open

Gruss

Helge

http://www.treiber-forum.de/sec/ ist für Einsteiger meiner Meinung nach gut geiegnet !

Ich selber benutze aber am liebsten den von Sygate

@Helge
Jo, Sygate finde ich, ist ein guter Online-Scanner, den benutzt ich auch manchmal

Mfg,
Air

Original geschrieben von Berufspenner
geträu dem Motto "Alles dicht machen und gezielt Ports öffnen" möchte ich nun wissen, wie ich dies umsätze. Am liebsten mit iptables. Also welche Regel muss ich setzen um alles dicht zu machen und dann sachen wie Port 80, 21, etc. wieder zu öffnen und das routing des lokalen netzes ins I-Net zu erlauben.

Wenn ihr mir da helfen könntet wäre ich euch sehr verbunden.

Das klingt sehr, als ob Du es eher mit vorgefertigten Firewall-System versuchen solltest, z.B. gShield http://muse.linuxmafia.org/gshield.html oder Firewall Builder http://www.fwbuilder.org/ .

Das System dicht machen tun ansonsten bereits die "default policies", die letzten drei hiervon:


iptables -F
iptables -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

Selektiven Zugriff gewährst Du dann mit passenden ACCEPT Regeln.

Hi!

Mein Vorschlag:

hier muß dann das LAN noch entsprechend angepasst werden, ich benutze den Bereich 10.0.0.0 - 10.0.0.255. (Am besten löst man das mit globalen Variablen.)




# NAT aktivieren f. Routing vom LAN ins Inet

iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -j MASQUERADE

# Dies ist notwendig, um nicht bei allen Clients die MTU korrigieren zu müssen

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Loopback

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT

# Muss ensprechend für andere Provider angepasst werden

iptables -A INPUT -s www-proxy.D1.srv.t-online.de -d 0/0 -p udp -i ppp0 -j ACCEPT
iptables -A INPUT -s dns03.btx.dtag.de -d 0/0 -p udp -i ppp0 -j ACCEPT

# eth0 ist hier das Interface, was ins LAN zeigt

iptables -A INPUT -i eth0 -p all -j ACCEPT

# Pakete erlauben, die vom Client explizit angefordert wurden

iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH und HTTP erlauben

iptables -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT
iptables -A INPUT -p udp -i ppp0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i ppp0 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -i ppp0 --dport 80 -j ACCEPT

# Samba Clients aus dem LAN den Zugriff erlauben

iptables -A INPUT -p tcp --syn -s 10.0.0.0/24 --destination-port 139 -j ACCEPT

# Default Policy setzen (alles was nicht ausdrücklich erlaubt ist, fallenlassen)

iptables -P INPUT DROP



GreetZ

ReSeT

Hi@ ReSeT

Ich danke dir für deine sehr umpfangreiche Antwort sammt den Beschreibungen der Regeln. Ich bin mir sicher, dass mir dein Post sehr weiterhelfen wird.

Vielen Dank.

Cu

Na, dann kann ich mir ja noch nen Kaffee holen :)

Ich habe hier gerade so'n bischen gelesen ueber GRC und moechte
euch noch etwas extra info geben:

* GRC ist eigentlich mehr geignet fuer windows client , nicht fuer linux, open bsd basierte systems.

steht auch auf der Seite von GRC
cut
NanoProbe Technology Internet Security Testing for Windows Users


Besser geeignet ist:
http://www.hackyourself.com

entschuldigt mein schlechtes deutsch,ich wohne seit 6 Jahren im Ausland.

gruesse Andreas

Da GRC (wie alle anderen Portscanner auch) Ports auf aktive Dienste überprüft, ist es egal ob man Windows oder ein anderes OS verwendet.

Negativ an GRC ist auf jeden Fall, dass nicht alle Ports überprüft werden, sondern nur einige wenige.

Gruß

Versucht mal die folgenden Adressen:

http://scan.sygate.com

http://seccheck.onsite.ch

Gruß Klaus

dieses seccheck teil ist irgendwie ziemlich cool, da es über 2000 ports durchscannt. Allerdings scannt er micht nach verlassen der seite irgendwie immer weiter?! Das ist ein bisschen nevig, da es nur unnötig traffic verursacht. :D

MfG Robert