03. februar 2002 - 14:35Der er
37 kommentarer og 1 løsning
eksembler på firewall via iptables
Jeg skal bruge direkte eksembler (helst scripts) på en firewall/iptables der masq'er intern trafik så alle interne clienter kan komme på internettet.... og router udefra kommende trafik ind til de interne web og mail server der ligger på 10.0.0.6 og 10.0.0.8
det er meget vigtigt at jeg har fået dette til at virke inden mandag aften.............
Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.
Ting kan gjøres vanskelig og ting kan gjøres enkelt. Spesielt med firewalls så kan man i hvert fall lage det vanskelig. Hvis problemstillingen er å få tingene opp å kjøre hurtigst mulig og ellers et enkelt vedlikehold så kan følgende framgangsmåte benyttes: 1. PC kjører i x-win/gnome. Man starter firewall-conf enten fra startmeny eller fra kommandovindu: http://home.no.net/axg/linux/firewall1.jpg 2. For enklest mulig forwarding oppsett, gå inn i "options" og sett policies til "Accept", "Deny", "Accept": http://home.no.net/axg/linux/firewall2.jpg 2. Trykk på knapp "New" for new chain. Fyll ut detalker slik som vist: http://home.no.net/axg/linux/firewall3.jpg
Trykk ok og aktiviser. Så er det hele gjort. Fungerer også ved neste boot.
Note: Det som er satt opp her er bare en ren masquerading, helt uten noen firewall filtrering. Man kan for eksempel sette opp flere rules og spesifisere fra ip til ip, portnummer osv. Det finnes en helpfunkasjon som ikke er så værst.
firewall-config er et nokså enkelt verktøy å komme i gang med. Linuxconf har også en firewall configureringsmodul som er en del mer avansert, dvs at den har en del flere muligheter. Sjekket ellers for bare ett minutt siden at masqueradingen over faktisk fungerte.
Ellers så er firewalling på for eksempel Red Hat 7.2 en temmelig tricky sak i og med at man både kjører ip-tables og ip-chains der ip-chains ser ut til å bli brukt som en slags kompabilitetsmodul. Begge de to grafiske verktøyene skjuler imidlertid denne problemstillingene, slik som tingene default er satt opp fra RH, slik at man sitter med et inntrykk av at man konfigurerer ip-chains (selv om det er ip-tables som kjører i bunnen av det hele.)
orv ja det glemt jeg at nævne (sorry) jeg har ikke X installeret desværre (maskinen kunne ikke trække den)og med hensyn til hvad du sagde om enkelt og svært så skal scriptet helst være så simpelt og kort som muligt
Linken fra thomasledet ser ganske glimrende ut. Vær oppmerksom på at Red Hat pr default bare lyder kommandoene til ipchains (når både iptables og ipchains kjører). Stenger man ned ipchains og lar iptables kjøre så lyder den kommandoene til iptables. for å finne ut hva som i uthangspunktet egentlig kjører, kjør kommandoene "iptables -L" og "ipchains -L". NAT (iptables) tilsvarer ut fra det som jeg forstår masquerading (ipchains).
linuxconf bør også klare oppgaven dersom man ønsker et semigrafisk grensesnitt. Vær da oppmerksom på ad den forutsetter regelsettet til ipchains (mener jeg)(Dvs at begge modulene skal kjøre). Har testet ut linuxconf mht firewall i x-win utgave men ikke i text mode. Fungerer meget bra i x-win mode.
Satte opp den samme "åpne brannmur" med masquerading via linuxconf. Det viste seg ved videre testing at oppsettet også ble ganske likt i den teksbaserte utgaven av linuxconf. Har nå også testet dette. Det som kan være litt forvirende i starten med linuxconf det er at det ikke står angitt noen steder at alle policies settes default til "deny". Ellers så dreier det seg om å åpne port for port, eller alle porter slik som jeg har gjort i dette forenklede eksemplet. Kjører nå i dette øyeblikk bak/gjennom ny "firewall". Synes at av alle muligheter så gir linuxconf den beste kontroll over og den beste oversikt aver firewallen. Alle policies står til "deny" og man åpner så for det man ønker, for eksempel port for port med masquerading i det omfang man ønsker. Linuxconf er ikke satt opp med firewall konfig aktivisert, men man kan aktivisere den. Ellers så er det gjort på få minutter å sette opp og konfigurere firewallen via linuxconf. http://home.no.net/axg/linux/firewall4.jpg http://home.no.net/axg/linux/firewall5.jpg Er ikke enig i konklusjonen om å droppe ipchains all den tid at for eksempel Red Hat 7.2 leveres med ipchains konfigurasjonsverktøy som default, både hva angår tekstbasert og grafisk konfigurering.
JA linket fra thomasledet er hjælper mig faktisk RIGTIG meget nu mangler jeg bare at fåstå Hvordan jeg kan ædre den til at virke på mit net............ med hensyn til iptables så er det også det jeg havde tænkt mig at bruge fra starten. jeg går ikke ud fra at der er nogen der bruger ipchains mere (har hørt den skulle være buggy)
Enig i at linken til thomasledet var særdeles bra fordi den forklarer tingene på en meget kompakt og oversikktlig måte.
Ellers en link til et "standardoppsett" for et firewall script med NAT/masquerading. Hentet fra boken Linux Firewalls 2'nd ed av R. Ziegler. Denne kan så redigeres og tilpasses som man ønsker (Hvis man ønsker å bruke script.) http://www.linux-firewall-tools.com/ftp/firewall/gateway.firewall.3
Slik som Red Hat 7.1 og 7.2 er satt opp default så kjører både iptables og ipchains demonene. Går ut fra at det er iptables som tar seg av selve den egentlige firewallingen og at ipchains egentlig bare kjører som et slags mellomlegg for å gi kompabilitet i forhold til eksisterende konfigurasjonsverktøy.
Kjører man "nmap" portscannerkommando fra en "Linux" så får man jo oversikt over hva man har åpent eller tilgjengelig.
Hvorvidt man skaper denne funsjonalitet ved hjelp av manuelle kommandoer eller script eller den samme funksjonalitet ved at man bruker et grafisk konfigurasjonsverktøy som linuxconf så blir sluttresultatet i praksis noenlunde det samme.
Ved hjelp av for eksempel linuxconf så kan man først sette alle policies til deny, dvs det skjer automatisk. Der etter så kan man åpne port for port enkeltvis av de portene man ønsker åpne, og det hele er gjennomført på 5 eller 10 minutter. Der etter så kjører man en portscan utennfra med nmap.
Mener i alle fall at vi fikk fram litt om firewalls. Håper du rekker fristen !!
Håper at du får det til og at du ikke har blitt slått i hjel av informasjon. Det første skriptet til thomasledet ser eller ut til å være meget nær å kunne gjøre jobben (?) Vil forsøke å kjøre det. interessant problemstilling ..
Håper du ikke gir opp. Brukte selv utrolig mange timer på diverse uttesting før jeg til sist fikk tingene til å fungere slik som jeg ville, noenlunde rutiemessig, ved hjelp av grafisk konfig verktøy. Har hatt det litt travelt i det siste, men vil forsøke å sette opp i hvert fall det ene scriptet til thomasaledet. Er det Red Hat 7.2 du kjører ? Synes dette med firewalls er et av de mest interressante temaer å sette seg inn i. Red Hat har ellers laget sitt firewall oppsett for 7.2 utrolig komplekst. Håper du lar spørmålet stå åpent til løsningen er på plass og at du legger ut litt mer spesifikk info om "hvorledes du er lost". (Feilmeldinger osv.) Det finnes vel ingen annen mulighet for å lære firewalls godt annet enn å jobbe med det !?
Er det noe som virker i det hele tatt ?? Var nede og teste på min Red Hat 7.2 akkurat nå. Forsøkte først telnet. Ikke mulig å kjøre hverken ipchains eller iptables kommandoer. Satte meg rett på console. "iptables -L" kommando gir bare feilmeldinger. "ipchains -L" kommando gir der i mot oversikt over status. Både ipchains og iptables modulen kjører. Dette er jo egentlig hverken i samsvar med Red Hats egen dokumentasjon eller howsto'ene !! Hvordan kjører det / kjører det ikke hos deg !?
Har nå fått tid til å teste ut litt i text mode direkte på console. Til min forbauselse så ser det ut som om den linuxconf modulen som har med konfigurering av fire wall ikke fungerer !!! (I text mode) Gnome firewall-config fungerer imidlertid problemfritt hos RH 7.2, men dette er som sagt en x-win sak. Jeg har selv installert x-win + gnome + KDE på Linux serverne for konfigurering og slikt. Kjører dem i runlevel 3. Det skulle ytelses og sikkerhetsmessig ikke spille noen rolle at de også har mulighet for x-win / runlevel 5. Med unntak av ved bruk av firewall-config så oppfører firewall seg egentlig jamen merkelig. Hva med å installere X-win, og lage standard oppstart til text mode / runlevel 3 for å kunne bruke x-win konfigurerings verktøy.
Må kjøre begge demonene for at firewall konfig skal fungere. Da fungerer det helt fint. Stenger jeg ned ipchains og booter opp igjen så kjører iptables, og den tar tilsynelatende i mot iptable kommandoer. Forsøker jeg å starte opp igjen ipchains så kommer feilmelding om at kjernen ikke er komatibel med ipchains ! Stiller jeg inn i ntsysv slik at både ipchains og iptables skal starte opp ved reboot, og jeg så rebooter, så kjører begge demonene tilsyneltatende side ved side og det hele fungerer slik som ønsket. Ved hjelp av firewall-config så kan man så rimelig lett "sette policies" og åpne for port for port. Ved port scan utenfra, og likeledes gjennomføring av trafikk innefra, så kan man jo sjekke at tingene fungerer slik som tilsiktet. Hvordan vet jeg egentlig ikke. Kan ikke helt se at det er samsvar med Red Hat dokumentasjon eller "howto's" og den praktiske virkelighet.
Du har ennä ikke fortalt hvilken distro du kjörer. Kikket i den nye Red Hat 7.2 Linux Bible her om dagen. Ser at denne boken beskriver ipchains regelsett og ipchains syntaks for kernel 2.4 og Red Hat 7.2 ... Red Had selv dokumenterer med henvisning til iptables regelsett. Forsöker man ä kjöre iptables -L pä en standard Red Hat 7.2 ist sä kommer bare feilmeldinger. Kjörer man ipchains -L sä fär man en grei oversikt. Sänn sett sä er faktisk The Bible rett i forhold til den praktiske virkelighet, selv om altsä alle vet at ipchains avgikk ved döden sammen med kernel 2.2 Kanskje et dumt spörsmäl, men gär ut fra at du har sjekket om din Linux lystrer ipchains eller iptables regelsett, selv om det altsä dreier seg om en 2.4 kernel.
Det du ellers spör om og önsker svar pä det er jom egentlig et standard oppsett for en firewall som vi alle kunne ha bruk for. Häper du ikke lukker spörsmälet för svaret er der.
Vil forsöke ä sette opp en manuellt oppsatt firewall ved hjelp av ren iptables syntaks när jeg er hjemme. Vi burdte absolutt klare ä finne ut av dette.
Forresten, hvis du kjörer Red Hat sin "hybridlösning" for 7.1/7.2 da skulle jo eksempelscriptet til Red Hat i prinsipp kjöre, men da er det faktisk ipchains syntaks som skal brukes for ä fä ipchains til ä kjöre riktig (hvor galt dette nä enn mäte höres ut.)
Alternativt, deaktiviseres "hybridlösningen" og man er over i en ren iptabel syntaks sä er det ä ta utgangspunkt i det annet, dvs det nederste eksempelscript.
Kjör NTSYSV - konfigurer for at bare itables skal kjöre: reboot og Red Hat 7.2 tar bare iptables kommandoer.
Neste: Kjör NTSYSV - konfigurer for at bäde ipchains og iptables demonene skal kjöre: Reboot og Red Hat tar bare ipchains kommandoer.
Tror noe av hovedsaken i forhold til problemstillingen er ä vite hvilket regelsett man egentlig kjörer og at man ikke blander de to syntaks eller regelsett, ipchains og iptables.
Hei ! Er hjemme fra ferie nå. Har kjørt ntsysv og fått vekk ipchains kompabilitetsmodul. Kjører nå firewall batch fil på basis av iptables syntaks med utgangspunkt i scriptet til thomasledet. Det fungerer, som du ser, i hvet fall for å få lagt inn dette innlegget i eksperten. Sitter bak firewall (NAT) og skiriver. Scriptet til thommasledet anbefalset som start. Legger mer beskjed når jeg finner ut av mere. Vil blandt annet jobbe med å route / "nate" til "bakenforliggende" web server. Legg beskjed hvis du finner ut noe mere du også !!
Det er løgn .. Har 2 PC'er ved siden av hverandre og denne her er fysisk koplet forbi firewall, når jeg kikker bedre etter !!##>@@@###>&&& !!! .... Fortsetter i morgen.
Og det gjorde jeg ... Det går greit å få de vanlige firewalling funksjonene opp vha iptables. Får ikke NAT til å kjøre helt som forventet. Det som jo framgår av knowhowene det er at 2.4 kjernen både kan kjøre iptables og ipchains. Det som ikke står noen steder det er at Red Hat 7.1 og 7.2 faktisk er satt opp default med ipchains. Når jeg bruker ipchains og ellers firewall-config slik som før så fungerer alle ting problemfritt.
Når jeg ser på de tingene som du har satt opp:
# Sletter alle kæder ##################################################### iptables -F iptables -X
Er du der fortsatt ?! Har jobbet en del med saken. Det ser ut til å fungere greit med ipchains, hvis du bruker RedHat 7.1/7.2 men ikke like greit med iptables. Har lagt ut et nytt spørsmål i den forbindelse: http://www.eksperten.dk/spm/176969 Det ville være interressant om du la ut opplysninger om hvilke distribusjon du kjører.
Er ganske interresert i problemstillingne rundt firewalls. Et lite spørsmål: Hva skjedde etter at du gikk over til Mandrake 8.0. Kunne du kjører iptables kommandoer med NAT ? Fungerte det ? Se ellers http://www.eksperten.dk/spm/178157
Har nå kompilert ny kjerne 2.4.18 med alle de nyeste firewalling funksjonene og installert denne som en endring til Red Hat 7.1. Det ser ut til å kjøre bra. Jeg er ganske nyskjerrig på hvordan løsningen med Mandrake fungerer. Det forholder seg nemlig slik at når kjernen kompileres så kan man legge inn modul for modul av de forskjellige delelementene som er beskrevet i iptables Howtoene over. Jeg lurer litt på hvordan Mandrake har fikset dette. Fikk oså mail fra Robert Ziegler (Linux Firewalls 2'nd edition) der han forklarer hvorledes man kan sette opp Red Hat til å kjøre med iptables uten å rekompilere kjernen. Kunne du legge ut to ord om hvordan NAT fungerer i Mandrake og om det er iptables eller ipchains som brukes ??!!
Bare lige for at holde alle jer der arbejde så hårdt for at hjælpe mig informeret. Jeg har endelig fået det til at virke.... :D det er en ELENDIG firewall og den stinker langt væk af newbie men den VIRKER :D
Det var bra. Til lykke !! Er det Mandrake som kjører ?? Det kjører her også men det tok timer, timer og timer ... (Med Red Hat) Det viste seg ellers at det slettes ikke var nødvendig å rekompilere kjernen i Red Hat. Det var bare et spørsmål om rett konfigurering og rett script. Firewall er bare det aller vanskeligste i Linux, men samtidig også temmelig moro ! (English: "fun")
*GG* Ja næste hele mit system er baseret på mandrake. det værste ved det er at det bare var nogle ganske få tegn jeg havde skrevet hele tiden, så jeg følte mig lidt dum da jeg endelig fandt ud af det.
jeg havde dog lidt problemer med at route til min FTP server fordi jeg ikke vidste at FTP også gør brug af UDP. nu sidder jeg og more mig med at lave den ene firewall script efter den anden. :) jeg tør slet ikke tænke på hvor lang jeg var nået hvis du ikke var kommet med alle de links. :)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
