Hallo.
Ich hätte da einige Fragen zu Harry's iptables-Generator.
Ich habe die addi hier im Forum gefunden und mal versucht mir damit nen Firewallscript zu basteln. Da aber leider keine Erläuterungen bei den einzelnen Schritten stehen und ich mich erst seit kurzem mit Linux beschäftige und noch Win gewöhnt bin, sagen mir einige Sachen absolut garnix. Kurzum: Ich bin ein Newbie.

Gibt es jemanden, der mir folgende Begriffe (/Sätze), die ich aus dem Generator kopiert habe, erklären könnte?!
Folgendes ist für mich reines Fachschinesisch:

Schritt 3:
Features:

Zugriffe vom LAN auf freigeben <------------Ist mir bereits bekannt
IP-Routing einschalten
Anpassung der Maximum Segment Size beim Forwarding (clamp-mss-to-pmtu)
Masquerading auf aktivieren
SYN-Cookies aktivieren (Schutz gegen SYN-Flooding)
Source-Routing deaktivieren
Redirecting deaktivieren
RP-Filter aktivieren (IP-Spoofing-Schutz)
Außergewöhnliche Pakete protokollieren
BOOTP-Relay deaktivieren
Proxy-ARP deaktivieren
Ungültige ICMP-Antworten ignorieren
ICMP Echo-Broadcasts ignorieren


Schritt 4:
Destination-NAT (DNAT)

Da kann ich irgendwelche neuen DNAT regeln erstellen, von denen ich nicht weiß, was das überhaupt sein soll.


Schritt 6:
Header für Startskript

Optionen für die Integration auf einer SuSE Distribution
Startskript-Header für SuSE >= 8.0 erstellen <-------------Ich habe Linux 8.1 bald wohl 8.2. Soll ich dies trotsdem aktivieren?



Währe nett, wenn mir jemand etwas Starthilfe in sachen Linuxsicherheit geben könnte.

MfG Shadowhunter

Die Vorgabewerte sind schon gut,

Schritt 3:
Wenn du ein Netzwerk aus mehreren Computer (die alle ins Internet sollen) hast, dann aktiviere Routing und Masquerading

Schritt 4:
ignorieren

Schritt 6:
da steht doch >=, d. h. größer oder gleich 8.0 (und 8.1 oder 8.2 ist größer, oder?)

HTH

Hmmm....Ich habe momentan nur einen Computer,mit dem ich ins Internet möchte. Also ne (ich gleube es heißt) Workstation die ohne einen Rechner, Router oder was es da auch alles gibt, davor, so sicher wie möglich ans Netz soll. Also kein Haken.
Ich habe >= wohl ohne es zu wollen überlesen.
Danke schonmal.

MfG Shadowhunter

Also ich habe mir jetzt mal nen Script erstellen wollen und dabei ist mir aufgefallen, das ich Cookies für die Seite aktiviert haben muss. Hab ich dann gemacht. Doch dann war ich etwas überrascht, da von der oben genannten Liste in Schritt 3 nur noch fplhgendes übrig geblieben ist:

SYN-Cookies aktivieren (Schutz gegen SYN-Flooding)
Source-Routing deaktivieren
Redirecting deaktivieren
RP-Filter aktivieren (IP-Spoofing-Schutz)
Außergewöhnliche Pakete protokollieren
BOOTP-Relay deaktivieren
Proxy-ARP deaktivieren
Ungültige ICMP-Antworten ignorieren
ICMP Echo-Broadcasts ignorieren

Die ersten Vier Optionen sind hier also unter den Tisch gefallen und Schritt 4 fehlt komplett.
Nun frage ich mich, ob diese Optionen immer noch außreichend sind, um meinen Rechner zu schützen?

Ja, die Filterregeln sind damit sogar noch strenger.

Die anderen Optionen bekommst du nur, wenn du ein LAN-Device angibst. Aber da du einen einzelnen Computer ins internet bringen willst, gibt es kein LAN => auch keine LAN-Optionen.

Aha. Verstehe.
Gibt es vieleicht sonst noch irgendwelche besonderheiten, die ich beachten sollte, bevor ich mich mit dem installieren beschäftige? Vieleicht ne Vierenprüfung oder sowas in der Art?:)

Also ich habe jetzt mal die Firewall mait folgenden befehlen aus der Anleitung eingerichtet gehabt:
--------------------------------------------
Fuehren Sie die folgenden Kommandos aus, nachdem das Skript "firewall" nach /etc/init.d kopiert wurde:
chmod 755 /etc/init.d/firewall
cd /usr/sbin; ln -s ../../etc/init.d/firewall rcfirewall
chkconfig -a firewall
rcfirewall start
--------------------------------------------
Da die Firewall ja jetzt jedesmal beim Systemstart gestartet wird und funktioniert, kann ich jetzt wieder beruhiegt weiter im netz surfen. Deshalb vielen Dank für deine Hilfe Jinto.

Nur habe ich noch nicht so ganz begriffen, wie ich die Firewall über den Runlevel-Editor steuern soll.

hi mittels

chkconfig -l

siehst du, in welchen runlevels deine "firewall" startet

man chkconfig erklärt, wie du definierst, in welchem runlevel die FW starten soll
normalerweise starten server in runlevel 3, workstations in runlevel 5

es schadet also nicht, wenn du die FW in diesen runlevels starten lässt
debian lädt AFAIK auch in runlevel 2 netzwerkdienste, also solltes du in diesem falle auch die FW in runlevel 2 starten

greez

Hallo und danke für deinen Beitrag.

Ich habe als root chkconfig -l ausgeführt und aus der liste den Punkt firewall rausgesucht:

firewall 0: off 1: off 2: off 3: on 4: off 5: on 6: off


Ich benutze zwar kein Debian aber ich werdes mir trotsdem merken. Man weiß ja nie.
Danke für eure Hilfe.

Ach ja. Nochwas.
Momentan macht sich ja mal wieder son Wurm im Netz breit. Ich habe neben meinem Linux auch noch WinXP auf meinem Rechner. Kann der Wurm sich auch über mein Linux ins Win einschleichen? Ich habe zwar die Hauptfestplate( C: ) mit den Windowsdaten für die normalen User unter Linux gespert ( Ich hab in /etc/fstab meine C: auf nouser gesetzt ). Aber sollte ich Vieleicht trotsdem die entsprechenden Ports sperren? Und wenn ja wie?

Du meinst W32blast aka Lovesan?

Der befällt hauptsächlich Windows NT (in allen Variationen). Linux ist idR davon nicht betroffen, dein Linuxpaketfilter (Harry's Script) blockt sowieso alle Anfragen => keine Gefahr für dein Linuxsystem.

Wenn du mit XP online gehst, solltest du zuvor den Patch eingespielt haben (wohl dem der ein alternatives, nicht betroffenes System zur Hand hat)

HTH

Wohl wahr.
Gut denn an dieser Stelle nochmal Danke an alle.

MfG Shadowhunter

Achso. Beinahe hätte ich es vergessen. Wo kann ich den die Logeinträge nachlesen?

MfG Shadowhunter