HJÆÆÆLP: Router (IPtables)

Måske bare "køre" den fil? altså det jeg har printet?

ja - prøv det .. evt tjek det med iptables -L (husk at være root)

hmm virkede med bare rc.firewall start

mfalck, hvis du vil score pointene, kan du hjælpe mig med at gøre min firewall mere stikker...?

tja - det kan jeg vel godt - det kommer lidt an på hvor sikker du vil have den .. hvilke behov har du (services etc)

jeg har selv taget udgangspunkt i :

http://ipkungfu.sourceforge.net/

http://www.linuxkungfu.org/

er nyere (v.030)

Altså trafik ud af huset må meget gerne være meget åben...
Men ind skal det være hacker-sikkert.
Jeg har http-server, ssh - altså ingen telnet og ftp...
Ved ikke helt hvad jeg ellers skal sige?

#do_nat eth0  80.163.174.146 TCP 10.0.0.3 80

du skal nok fjerne kommentaren på denne - for ellers er der ikke adgang ind til din www-server.

http://bifrost.heimdalls.com/

er et alternativ til ipkungfu - der er et webinterface med på den sidste, men den har jeg ikke prøvet, men den ser let ud, hvilket nok er en fordel i dit tilfælde (når man starter med sikkerhed, så er det en stor fordel at det er til at overskue og man får noget hjælp).

fik du det til at spille ?!?!

Jeg har lidt svært ved at sætte mig ind i det...
du kan vel ikke lave noget simpelt som gør, at folk ikke kan se mit netværk, klienternes filer, printere osv?

tjo jeg kan kigge på noget i aften - det er bare lidt svært at sætte noget generelt op, da sådan en konfiguration må tage udgangspunkt i opsætningen af netværket.

du prøvede ikke at installere ipkungfu .. den er ret god til at gøre det meste for dig.

Hvis jeg installerer det ipkungfu, laver den så nogle indstilliger selv, eller er det noget jeg selv gør via det webinterface?

ipkunfu er et script som sætter firewallen op for dig ... den anden var bifrost som har et webinterface; jeg tror jeg vil anbefale dig at prøve bifrost først - da det nok er lidt mere brugervenligt.

jeg faldt lige over denne side - her kan du selv generere en iptables fil der passer til dit setup

http://www.iptables.1go.dk/index1.php

http://www.iptables.1go.dk/index1.php - kender jeg, udfaldet er vel stort set det jeg har i forvejen...?

jeg læste lige dit sprøgsmål igennem igen; hvis det kører nu så tror jeg ikke der er så langt igen for at få en sikret firewall.

hvis du skal have åbent for ssh ind så skal du skrive

do_nat eth0      80.163.174.146  TCP 10.0.0.3 22

jeg kan se på ipadressen at der er en webserver oppe og køre

Ja og der er også åbnet for ssh...

der er desværre lidt for åbent.

22/tcp    open        ssh
80/tcp    open        http
111/tcp    open        sunrpc
139/tcp    open        netbios-ssn
443/tcp    open        https
3306/tcp  open        mysql
6000/tcp  open        X11

jeg tror du skal prøve at sætte følgende ind i dit script:

-A INPUT -i eth0 -dport 111 -j DROP #drop sun rpc
-A INPUT -i eth0 -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -dport 139 -j DROP #drop MS netbios
-A INPUT -i eth0 -dport 3306 -j DROP #drop mysql
-A INPUT -i eth0 -dport 6000 -j DROP #drop Xserver

evt kan du prøve een ad gangen

evt kan du prøve een ad gangen og se om det virker.

disse skal nok tilføjes også:

-A INPUT -i eth0 -p UDP -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 139 -j DROP #drop MS netbios

A INPUT -i eth0 -dport 111 -j DROP #drop

hvad skal alle de drop være godt for? Og hvorfor 1 ad gangen?
Jeg må have en anden firewall som starter ved maskinens start? En som er indbygget i RedHat 8.0?

som regel skal disse regler ligge i /etc/sysconfig/iptables, som bliver kørt ved start ved hjælp af /etc/init.d/iptables (som regel linket til ved /etc/rc3.d/S08iptables)

Skal jeg lige køre en "cat /etc/sysconfig/iptables" så?

ja prøv evt lige det

evt også en "ls -l /etc/init.d/iptables" og "ls -l /etc/rc?.d/*iptables"

jeg skal desværre have bestyrelsesmøde i min andelsforening så jeg bliver nødt til at logge af nu. Jeg kigger måske på det senere.

[root@cpe /]# ls -l /etc/init.d/iptables
-rwxr-xr-x    1 root    root        5636 Aug  7  2002 /etc/init.d/iptables

[root@cpe /]# ls -l /etc/rc?.d/*iptables*
lrwxrwxrwx    1 root    root          25 Feb 17 21:46 /etc/rc5.d/K99iptables -> /etc/rc.d/init.d/iptables
lrwxrwxrwx    1 root    root          25 Feb 17 21:46 /etc/rc5.d/S99iptables -> /etc/rc.d/init.d/iptables

[root@cpe /]# cat /etc/sysconfig/iptables
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
#      firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68
-i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68
-i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed


Hvis du kan gøre noget bedre, så den bliver mere sikker, må du endelig sige til.
Så man ikke kan se windows klienterne f.eks.

Er det også muligt at regulere, så f.eks. hver bruger kun har max 10 kb/sec at bruge af? Eller filer større end 2 mb kun må hentes med 5 kb/sec ?
Eller er det ikke i firewall'en man laver den slags?

prøv først som root at skrive "iptables -L"

hvis du vil gemme din akuelle opsætning kan du gøre det med:
iptables-save > /tmp/iptables.out
derefter kan du lægge iptables.out over i /etc/sysconfig/iptables (husk at lave en kopi af den originale først).

For at sikre dit script lidt mere så kan du prøve at smide nedenstående smøre (den fra før) ind i /etc/sysconfig/iptables inden det sidste "COMMIT":

-A INPUT -i eth0 -p tcp -dport 111 -j DROP #drop sun rpc
-A INPUT -i eth0 -p tcp -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p tcp -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p tcp -dport 139 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 139 -j DROP #drop MS netbios
-A INPUT -i eth0 -p tcp -dport 3306 -j DROP #drop mysql
-A INPUT -i eth0 -p tcp -dport 6000 -j DROP #drop Xserver

dit andet spørgsmål angår det som hedder "bandwith queing". Jeg har ikke prøvet at lave noget sådant selv;

jeg har et link til et sted hvor de gennemgår det på nettet:
http://lartc.org/howto/

-A INPUT -i eth0 -p tcp -dport 3306 -j DROP #drop mysql

Er det for at mysql serveren ikke kan ses?

jeps.

som jeg forstår dit setup så har du en firewall og en webserver bagved, ikke ?!?!

hvis mysql ligger på maskinen så skal du nok ikke have den linie med, hvis du vil tilgå mysql fra nettet.

Firewall og webserver bagved?
Jeg har kun firewall og webserver på serveren - ikke blandt klienterne!

ok - jeg troede at du havde to maskiner - en firewall og en webserver. Medmindre du har en meget kraftig server eller meget lille belastning så ville jeg nok undlade at bruge bandwith queing - det er vist noget som trækker tænder ud på maskinen.

Okay...
Men så synes du bare, at jeg skal smide nedenstående smøre ind i /etc/sysconfig/iptables inden det sidste "COMMIT":

-A INPUT -i eth0 -p tcp -dport 111 -j DROP #drop sun rpc
-A INPUT -i eth0 -p tcp -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p tcp -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p tcp -dport 139 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p UDP -dport 139 -j DROP #drop MS netbios
-A INPUT -i eth0 -p tcp -dport 3306 -j DROP #drop mysql
-A INPUT -i eth0 -p tcp -dport 6000 -j DROP #drop Xserver


Ikke??
"iptables -L" hvad er det godt for?

ja - evt kan du prøve dig lidt frem og sætte een ind ad gangen så du er sikker på at det hele kører bagefter.

iptables -L viser hvilke regler der er i dine iptables.

[root@cpe /]# iptables -L
Chain INPUT (policy ACCEPT)
target    prot opt source              destination

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

Chain RH-Lokkit-0-50-INPUT (0 references)
target    prot opt source              destination

ok - har du smidt de linier ind i /etc/sysconfig/iptables skal du lave en

/etc/init.d/iptables restart

for at få ændringerne til at træde i kraft.

Hvis jeg skriver nogle af de ting ind skriver den:

[root@cpe root]# /etc/init.d/iptables restart
Flushing all current rules and user defined chains:        [  OK  ]
Clearing all current rules and user defined chains:        [  OK  ]
Applying iptables firewall rules: Bad argument `137'
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
                                                          [FAILED]

prøv at ændre UPD -> udp

-A INPUT -i eth0 -p udp -dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p udp -dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p udp -dport 139 -j DROP #drop MS netbios

Skriver samme fejlmeddelse ved genstart af iptables ...

aha - jeg tror det er fordi der skal stå:

--dport 137

altså bare med 2 streger?

-A INPUT -i eth0 -p udp --dport 137 -j DROP #drop MS netbios
-A INPUT -i eth0 -p udp --dport 138 -j DROP #drop MS netbios
-A INPUT -i eth0 -p udp --dport 139 -j DROP #drop MS netbios

jeps

Vil den heller ikke...
[root@cpe /]# /etc/init.d/iptables restart
Flushing all current rules and user defined chains:        [  OK  ]
Clearing all current rules and user defined chains:        [  OK  ]
Applying iptables firewall rules: iptables-restore v1.2.6a: Unknown arg `--dport
'
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
                                                          [FAILED]

underligt ud over jeg droppe på port 445 så er det da identisk ?!!

-A INPUT -p tcp --dport 137 -j DROP
-A INPUT -p tcp --dport 138 -j DROP
-A INPUT -p tcp --dport 139 -j DROP
-A INPUT -p tcp --dport 445 -j DROP
-A INPUT -p udp --dport 137 -j DROP
-A INPUT -p udp --dport 138 -j DROP
-A INPUT -p udp --dport 139 -j DROP
-A INPUT -p udp --dport 445 -j DROP

Hmmm du skriver "-p" i min er det "-i"... Du skriver også "tcp" i stedet for "udp" i de drop af 137, 138 og 139..

-i angiver at det er eth0 (netværksinterfacet) i tilfælde af at der er flere.

de første er det tcp-protokollen mens de sidste 4 er det udp. Prøv i første omgang at kommentere dem ud fra scriptet og se hvad der sker (bare sæt en havelåge # foran )

ellers fik jeg en ide:

prøv at sætte følgende ind efter sætningen:
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 137 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 138 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m udp --dport 137 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m udp --dport 138 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m udp --dport 139 --syn -j REJECT

Sætte det før den sidste "COMMIT" ??

nej efter:
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

Så skriver den:

[root@cpe /]# /etc/init.d/iptables restart
Flushing all current rules and user defined chains:        [  OK  ]
Clearing all current rules and user defined chains:        [  OK  ]
Applying iptables firewall rules: iptables-restore v1.2.6a: Unknown arg `--syn'
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
                                                          [FAILED]

Kom aldrig til at virke med mfalck's hjælp, en lavede et firewall script til mig..
Skriv hvis I vil se det :]

Tak for hjælpen anyways..