hallo leute!

suche für windows eine firewall für die command line.
optimal wäre es wenn man die mit den iptables befehlen steuern könnte....


...weiß nicht ob es sowas gibt... google hat mir da auch net so weiterhelfen können


vielen dank

es würde mir auch reichen, eine art netstat unter windows, wo ich den rx und tx traffic per command line auslesen kann....

Und ich hätte gern ein KDe für WIndows *....*

Original geschrieben von dauni
Und ich hätte gern ein KDe für WIndows *....*

au ja und am besten noch YaST und RPMs... :ugly: :p :D

haha, sehr witzig,
ich such doch einfach ne command line firewall...
...irgendwelche intelligenten windows user muss es doch noch geben die nciht nur klicki bunti kram nutzen können....

Original geschrieben von sammy
haha, sehr witzig,
ich such doch einfach ne command line firewall...
...irgendwelche intelligenten windows user muss es doch noch geben die nciht nur klicki bunti kram nutzen können....

Hast du etwa eine andere Antwort erwartet? Das ist hier ein Linuxforum!

cu

Jochen

ach ja...
..und KDE und yast sind auch net grade so doll das es die arbeit lohnen würde die zu portieren...

Original geschrieben von sammy
ach ja...
..und KDE und yast sind auch net grade so doll das es die arbeit lohnen würde die zu portieren...

Das wiederum ist ja Geschmacks- und Ansichtssache ;)

cu

Jochen

Für dich vielleicht - naja, auf yast kann ich auch verzichten ....

Windows versucht halt eben KEINE Commandlineappz zu verwenden, sondern NUR GUI's, weil die viel besser zu administrieren gehn und auch 100mal intuitiver sind usw. usf.

Wenn du eine Firewall willst, ist eh weniger Windows als os dafür zu empfehlen

Original geschrieben von dauni
Für dich vielleicht - naja, auf yast kann ich auch verzichten ....

Windows versucht halt eben KEINE Commandlineappz zu verwenden, sondern NUR GUI's, weil die viel besser zu administrieren gehn und auch 100mal intuitiver sind usw. usf.

Wenn du eine Firewall willst, ist eh weniger Windows als os dafür zu empfehlen

ne gute Desktop-Firewall für Winblöd ist Zonealarm. zu finden unter www.zonelabs.com. Aber die is halt GUI

und auf Yast könnt ich verzichten, auf rpms sowieso, aber man is ja schliesslich bequem... ;)

geht eigentlich nciht mit der firewall darum das system sicher zu machen, sondern nur darum,
bestimmte netzwerkverbidnungen dynamisch zu verbieten. werde das wohl so handeln das mein linux router die conenctions verbietet udn von dem windows system nur gesagt bekommt, welche er verbieten soll. brauche also ein windows programm, das mir destination-adress, destination port, source port, source adress, rx-data, tx-data und application anzeigt....

kennt da jemand was? die kerio firewall listet das ganz nett auf, aber da kommt man nicht so ohne weiteres dran um die automatisiert zu verarbeiten....

Original geschrieben von sammy
brauche also ein windows programm, das mir destination-adress, destination port, source port, source adress, rx-data, tx-data und application anzeigt....

kennt da jemand was? die kerio firewall listet das ganz nett auf, aber da kommt man nicht so ohne weiteres dran um die automatisiert zu verarbeiten....

Schau dir mal nmap (http://www.insecure.org/nmap/nmap_download.html) das gibts auch für Windows!

cu

Jochen

moin moin

der eigentliche paketfilter *steckt* bei linux im kernel und iptables ist vereinfacht gesagt nur ein frontend dafür. damit kannst du das mit windows also vergessen.



bestimmte netzwerkverbidnungen dynamisch zu verbieten. werde das wohl so handeln das mein linux router die conenctions verbietet udn von dem windows system nur gesagt bekommt, welche er verbieten soll. brauche also ein windows programm, das mir destination-adress, destination port, source port, source adress, rx-data, tx-data und application anzeigt....

kannst du das mal genauer erklären? was meinst du mit dynamisch => connection tracking ? wenn du einen linuxrouter hast, kannst du dort doch einen paketfilter aufsetzen. wie stellst du dir das vor, das windows deinem paketfilter sagt, was er verbieten soll?


Gruß HL

also:

unter windows läuft ein programm das netzwerkverbindungen in die weite welt herstellt.
ein anderes programm soll diese verbindungen "überwachen", also wohin die verbindung geht, wieviel gesendet und empfangen wird (halt nur von diesem einen programm) und dann kann man ja eine netzwerkverbindung zum linux router aufbauen, auf dessen seite dann die befehle entgegen genommen werden und mit iptables eingegeben werden....

ist es so etwas klarer?



ach ja und zu dem posting mit nmap....
nmap ist nur ein portscanner um zu gucken welche serverdienste auf einem rechner laufen, aber nicht zum anzeigen der aktiven verbindungen...

hi


unter windows läuft ein programm das netzwerkverbindungen in die weite welt herstellt.

soweit ist mir das klar. zwischen deinem winclienten und der weiten welt befindet sich dein linuxrouter mit der firewall drauf.


ein anderes programm soll diese verbindungen "überwachen", also wohin die verbindung geht, wieviel gesendet und empfangen wird (halt nur von diesem einen programm)

hier kommt wieder deine linuxfirewall ins spiel. allerdings geht das mit iptables nur auf paketebene, heißt der *inhalt* der pakete spielt dabei keine rolle. wenn du sowas möchtest, mußt du einen proxy aufsetzen.



dann kann man ja eine netzwerkverbindung zum linux router aufbauen, auf dessen seite dann die befehle entgegen genommen werden und mit iptables eingegeben werden....

wenn ich dich richtig verstehe, willst du von einem win-prog dynamisch iptables-regeln erstellen lassen? denke nicht das es sowas gibt.

ps: ich persönlich möchte auch nicht, das ein winprog in meinem iptables-regeln *rumpfuscht* ;)


Gruß HL

ja,

windows soll dm linux rechner die infos geben welche regel zu blocken ist, und das script auf der linux kiste kontrolliert die parameter und bastelt dann daraus den iptables befehl....

was in den paketen drin steht ist egal. windows soll eigentlich nur rausfinden, von welcher adresse von mir etwas hochgeladen wird und das dann blocken...
die kerio firewall hat da eine sehr gute übersicht die alles anzeigt was ich brauche, aber ich komme da nicht mit einem script ran.... deshalb brauch ich ein anderes tool was mir den netzwerkstatus von dem zu überwachenden programm sagt....

hi


windows soll dm linux rechner die infos geben welche regel zu blocken ist, und das script auf der linux kiste kontrolliert die parameter und bastelt dann daraus den iptables befehl...

wie gesagt, ich kann mir nicht vorstellen, das es sowas gibt.


was in den paketen drin steht ist egal. windows soll eigentlich nur rausfinden, von welcher adresse von mir etwas hochgeladen wird und das dann blocken...

den satz hab ich mir 5 mal durchgelesen und ich glaube jetzt habe ihn jetzt kapiert ;) angenommen du hast dir für win einen trojaner eingefangen. nun möchtest du verhindern, das dieser eine verbindung ins netz aufbaut, richtig? oder du möchtest verhindern, das win nach hause telefoniert. ist es das was du verhindern möchtest?

ja, genau.
das zu realisieren, das windows meinem linux router sagt irgendwas zu verbeiten ist nciht das problem, das ist in wenigen minuten realisiert...

nur das windows erkennt was geblockt werden soll ist das problem...
ich bräuchte so ne art netstat das zusätzlich das programm und den traffic up und down anzeigt....

hi


das zu realisieren, das windows meinem linux router sagt irgendwas zu verbeiten ist nciht das problem, das ist in wenigen minuten realisiert..

das würd mich mal interessieren, wie du das anstellen willst.


nur das windows erkennt was geblockt werden soll ist das problem... ich bräuchte so ne art netstat das zusätzlich das programm und den traffic up und down anzeigt....

für das, was du vorhast brauchst du kein windows. es gibt verschieden möglichkeiten, den linux paketfilter *einzustellen*.

du kannst den paketfilter z.b. so einstellen, das alle verbindungen die von innen aufgebaut wurden, deine linuxfirewall passieren dürfen. verbindungsversuche von aussen, sofern sie nicht zu einer von innen gestarteten verb. gehören, werden geblockt. dabei darfst du dann natürlich nicht alles wild und ohne überlegung anklicken, was du so im web findest ;). denn solltest du dir bspw. einen trojaner eingefangen haben, der von sich aus eine verbindung aufbaut, wird die dein paketfilter natürlich passieren lassen.

andere möglichkeit => du öffnest nur bestimmte ports z.b. für www und ftp. alles andere ist verboten

oder du installierst(zusätzlich) einen proxy. dieser ist, im gegensatz zu deinem paketfilter, in der lage sich auch den *inhalt* der verbindung anzusehen, also übertragene kommandos und daten.


Gruß HL

das mit dem befehle an den router senden kann man ja mit einer einfachen client server verbindung realisieren.
der linux router empfängt dann die befehle vom windows client und macht daraus einen befehl der an die linux shell gesendet wird.

das mit den festen regeln ist schwierig, da immer verschiedene ports benutzt werden und die teilweise auch für meine verbindungen benötigt werden. also ich kann nur entscheiden was ich blocke wenn ich sicher weiß das über eine verbindung nur was rausgesendet wird und das muss ich halt auf windows seite entscheiden, da linux ja nicht weiß von welcher windows application der kram ausging.

habe auf dem linux router einen normalen squid installiert (für http und https udn ftp)
was für möglichkeiten gibt es den damit noch?

sorry mit squid kenne ich mich nicht aus. aber vielleicht hilft dir diese seite weiter

http://me.in-berlin.de/~pollux/squid/#GERM_KONF

oder schau dir mal delegate => http://www.harry.homelinux.org/modules.php?name=News&file=article&sid=5&mode=&order=0&thold=0

oder auch squidgard an => http://www.pl-berichte.de/work/server/www/squidGuard.html


Gruß HL

Hi

Wird Dir wohl nichts anderes übrig bleiben, als das Ganze direkt auf dem Windows Rechner zu realisieren.
Gut dazu geeignet ist die Tiny Personal Firewall (http://www.tinysoftware.com/home/tiny2?la=EN) , für private Benutzer Freeware. Einfach auf Lernmodus stellen, dann fragt sie bei jeder TCP/UDP/ICMP Verbindung (rein und raus) nach, ob Du diese erlauben oder verbieten willst. Das ganze läßt sich auch auf Applikationsebene betreiben, also für einzelne Programme erlauben oder verbieten. Und aus den Nachfragen lassen sich per Mausklick statische Regeln erzeugen.
In der neuen Version auch inkl. Intrusion Detection und, soweit ich weiß, auch für "stateful" Regeln.
Tja, was es für Windows so alles gibt ...

MfG

sorry habe nicht den ganzen Thread durchgelesen! aber nur nach ISA gesucht, das ist die Windows Firewall (wurde nicht erwähnt) kostet leider 4000 Franken.

ich habe sie mal aufgesetzt und muss sagen als Spielzeug ist sie echt toll, man kann tausende Sachen einstellen, aber sicher ????? ;)

greetz
adme

@sammy

ich versteh dein problem nicht. wenn es dir nur darum geht dass trojaner keinen netzzugriff bekommen oder windows nicht "nach hause telefoniert" brauchst du doch gar keine dynamischen regeln. das kannst du doch alles auf deinem router blocken.

oder geht es dir darum die firewall auf dem router vom windows pc aus zu administrieren?

@HangLoose

verstehst du ganz genau was er realisieren möchte?

mfg
cane

Bei dem Durcheinander in diesem Thread, :D habe ich nicht gesehen, ob dieses schon jemand beantwortet hat. Hier die Loesung:
netstat heist unter Windows netstat z.B. netstat /a zeigt die alle aktiven Verbindungen an. ;) ;) ;)

T;o)Mes

P.S. Ein schoenes Gui-Frontend dafuer ist AnalogX (http://www.analog.com)

moin moin

@cane


verstehst du ganz genau was er realisieren möchte?

ich glaube, ich weiß worum es sammy geht, hoffe ich zumindest ;)


wenn es dir nur darum geht dass trojaner keinen netzzugriff bekommen oder windows nicht "nach hause telefoniert" brauchst du doch gar keine dynamischen regeln. das kannst du doch alles auf deinem router blocken.

es kommt halt immer drauf an, wie man seine *firewall* eingestellt hat. ich persönlich erlaube von innen heraus alles. das bedeutet => pakete die zu einer verbindung, die von innen gestartet wurde gehören, dürfen die firewall von aussen nach innen passieren. angenommen sammy fängt sich auf seinem win-system einen etwas intellegenteren trojaner ein, der nicht nur an einem bestimmten port auf eine anfrage lauert, sondern von sich aus eine verbindung aufbaut, so hat er ein problem. ;) so eine verbindung würde nämlich ohne probleme zustande kommen, da sich der paketfilter den inhalt der pakete nicht ansieht. deshalb auch der hinweis mit dem proxy.

natürlich kann man den paketfilter auch so einstellen, das von innen nach aussen auch nur bestimmte ports geöffnet werden.



Gruß HL

@ HangLoose

Jetzt ist mir klar was er meint.
Meiner Meinung nach sollte man aber heutzutage, wo jeder Newbi in der Lage ist einen Trojaner mit einer beliebigen .exe Datei zu verbinden, seine Firewall restriktiver konfigurieren - sprich eine DENY ALL Policy für ausgehenden Verkehr erstellen und nur die Ports die man wirklich braucht freigeben.

Ja ich weiß es ist wenn man ein wenig gesundes Misstrauen hat sehr unwarscheinlich sich einen "Standarttrojaner" einzufangen aber
es gibt mittlerweile (zum Glück nicht für jederman zugängliche) Trojaner die sehr ausgeklügelte Infektions- und Weiterverbreitungsroutinen haben.

Klar könntet ihr jetzt sagen dass es Tools a la firehole gibt die die Firewall umgehen indem sie über Port 80 kommunizieren aber das ist meiner Meinung nach noch nicht sehr verbreitet. Ich denke dass das bisschen Arbeit mit den neuen Policies in keinem Verhältnis zum "Mehr an Sicherheit" steht.

Allerdings denke ich, das auch wenn viele Leute diese Policies aus Faulheit nicht erstellen,
du warscheinlich einen guten Grund hast HangLoose, oder?

Zum Abschluß noch eine Frage:

Ist es möglich die Ports nur für bestimmte Programme zu öffnen, die man dann anhand von md5 oder anderen Checksummen überprüft?

hi cane


Allerdings denke ich, das auch wenn viele Leute diese Policies aus Faulheit nicht erstellen, du warscheinlich einen guten Grund hast HangLoose, oder?

ich muss gestehen, das ich auch zur gruppe der faulen gehöre ;). aber du hast völlig recht mit der DENY ALL Policy und erst recht wenn im lan auch noch win-rechner mit verbindung zum i-net rumhängen. bei mir ist es momentan nur so, das ich fast ausschließlich mit linux im netz unterwegs bin und ich hoffentlich immer weiß, was ich tue :D


Ist es möglich die Ports nur für bestimmte Programme zu öffnen, die man dann anhand von md5 oder anderen Checksummen überprüft?

hm, da ist mir nichts bekannt. es gibt aber für iptables das owner-modul. als da wären

iptables -m owner --uid-owner userid

paket wird nur rausgelassen, wenn das paket von einem prozeß generiert wurde, der die angegebene uid besitzt

iptables -m owner --gid-owner groupid

wie userid, bloß eben für die groupid

iptables -m owner --pid-owner processid

prozeßid des paketerstellenden prozesses

iptables -m owner --sid-owner sessionid

dito zur processid, bloß eben für session group


ps: sehr schön nachzulesen in "Das Firewall Buch" ;)


Gruß HL

Danke für die Info!

Werd mir in Zukunft sowieso noch ein Buch zum Thema Firewall kaufen aber da ich erst seit einem Monat unter Linux unterwegs bin werde ich erstmal das Linux Buch von Michael Kofler (ist sehr gut) durcharbeiten.

Aber pass mal auf HangLoose:
Ich hab bis jetzt noch kein eigenes Firewallscript am Laufen - bin aber grad dabei mein eigenes aus Beispielen und Eigenwissen zusammenzustellen...

Kann ich das Script in jedem beliebigen Ordner dessen Scripte beim Systemstart geladen werden speichern?

Gibt es Prozesse die mit Funktionieren meines eigenen Scripts überflüssig werden?

cane

..., wo jeder Newbi in der Lage ist einen Trojaner mit einer beliebigen .exe Datei zu verbinden, seine Firewall restriktiver konfigurieren - eine DENY ALL Policy für ausgehenden Verkehr erstellen und nur die Ports die man wirklich braucht freigeben. Problematisch bei Diensten, die keinen festen Zielport haben z. B. ftp (ich weiss, dass es dafür spezielle Module gibt, dient nur als Beispielt), zudem ist FW != Paketfilter.
Klar könntet ihr jetzt sagen dass es Tools a la firehole gibt die die Firewall umgehen indem sie über Port 80 kommunizieren aber das ist meiner Meinung nach noch nicht sehr verbreitet. Nur weil sie nicht so verbeitet sind, sind sie deswegen nicht weniger gefährlich.
Allerdings denke ich, das auch wenn viele Leute diese Policies aus Faulheit nicht erstellen. Diese Leute haben sich wohl Gedanken über ihr sicherheitskonzept gemacht und sind entweder der Anischt, sie benötigen das nicht. Oder aber, die eingestzte Software erlaubt so etwas nicht.
Ist es möglich die Ports nur für bestimmte Programme zu öffnen, die man dann anhand von md5 oder anderen Checksummen überprüft? AFAIK: nein. Dafür sind mindestens 2 Programme erforderlich (z. B. iptables und Tripwire)

HTH

PS: Frage mich, warum in einem Linuxforum Windowsprobleme diskutiert werden.
PPS: Der Einsatz von Programmen ala Zonealarm, auf Single-User Betriebssystemen udn System aufdenen als Admin gearbeitet wird, ist die Zeit der Installation nicht Wert (ohne eine Aussage zu treffen, ob sie überhaupt sinnvoll sind)