Søg
Avatar billede webcreator Nybegynder
29. januar 2005 - 18:39 Der er 8 kommentarer og
3 løsninger

Opsætning af server til computertræf

Hej Eksperter.

Vi skal holde et mindre computertræf og ønsker at sikre, at folk ikke bruger vores internetforbindelse til at hente via Kazaar, E-donkey og hvad det ellers hedder.

Det er indtil nu lykkedes mig at få sat en server op med Mandrake 10.1 Official, der deler internetforbindelsen der kommer ind på eth1 via eth0 (se diagram længere nede). Samtidig ønsker vi at kunne overvåge de forbindelser der oprettes udadtil (gøres lige nu vha. programmet Ethereal).

Det jeg umiddelbart mener vi mangler, er selve FireWall'en, der sørger for at folk ikke kan få forbindelse igennem angivne porte. Som udgangspunkt ønsker vi at have et åbent netværk, hvor vi efterhånden kan tilføje diverse porte, når folk begynder at misbruge dem. Vi bryder os ikke om at skulle bruge en standard-opsætning, der vil umuliggøre at folk ikke kan spille online via internettet.

Jeg har forsøgt mig med den medfølgende firewall i Mandrake (som jeg tror er baseret på ShoreWall - men jeg kan absolut ikke få den til at virke. Jeg forsøger at konfigurerer den via Mandrake Control Center.

Jeg har tilknyttet firewall'en til interfacet eth1 som internetforbindelsen kommer ind på (se diagram længere nede). Jeg har så ikke valgt en eneste pre-defineret firewall-type (fx Web, mail osv), men forsøgt at indtaste de porte man må kunne bruge. Her har jeg skrevet:  200:65535/tcp 200:65535/udp

Men når jeg tester forbindelsen på serveren via min laptop, så kan jeg fortsat tjekke e-mail (som bekendt foregår via port 110 - og den er da ikke medtaget i ovenstående port-range).

En anden ting der måske skal tages højde for, er at jeg skal lave en egentlig Proxy Server (hvad er forskellen på en sådan, og det som jeg allerede har sat op?).

Jeg har brug for noget hjælp her. Som udgangspunkt kunne jeg godt tænkt mig at vide, hvad mit næste skidt skal være. Skal jeg forsøge mig med en anden Firewall? I givet fald hvilken? Eller kender I en god guide der kan hjælpe mig igennem opsætningen af en Proxy server i Mandrake Linux?

Vær venlig ikke at foreslå en masse andre distributioner. Jeg ønsker at holde mig til den valgte, da jeg har arbejdet med den i mange år, og derfor kender lidt til den.

Og nu følger diagrammet : www.powerzone.dk/net.jpeg
Avatar billede thetoastmaster Juniormester
30. januar 2005 - 00:17 #1
hvis du har sat webmin ind på din mandrake så har den et opsætning værktøj der fungere til  Shorewall, check under networking..

hvis du ikke har webmin inde så brug
urpmi webmin ( den spøger selv efter cd'er )
( du skal være på som root )

hvis du ikke har brugt webmin før så log på selve serveren og brug netscape til at logge på med http://127.0.0.1:10000 eller https://127.0.0.1:10000

med webmin er det noget letter at sætte  Shorewall op, men ellers findes der en vejledning her

http://www.shorewall.net/
Avatar billede webcreator Nybegynder
30. januar 2005 - 16:12 #2
Hej.

Jeg har droppet firewallen. Vi bar besluttet os for at bibeholde det åbne netværk. Vi er i stedet mere interesserede i nogle gode filtre til Ethereal. Så det skal jeg lige have kigget på. Tak ToastMaster. Du får lige lidt for dit svar alligevel. Forresten bryder jeg mig ikke synderligt om WebMin - men det er et stykke tid siden jeg har brugt det - så måske jeg skulle give det et forsøg igen. Men jeg har snakket med et par andre eksperter, og de siger, at ShoreWall ikke bør benyttes på den måde jeg forsøger at bruge det. Den bør bruges som en alm. firewall for brugeren på computeren. Ikke som en firewall på netværket. Men om de tager fejl, ved jeg ikke.
Avatar billede webcreator Nybegynder
30. januar 2005 - 16:13 #3
Kan jeg få et svar ?
Avatar billede gozar Nybegynder
30. januar 2005 - 18:13 #4
Hvad med ntop?
http://www.ntop.org/ntop.html

Og firewallen.

# acceptere alt
iptables -P ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# router icmp requests
iptables -t nat -A POSTROUTING -i eth1 -p icmp -j MASQUERADE
# Router dns requests
iptables -t nat -A POSTROUTING -i eth1 -p udp --dport 53 -j MASQUERADE
# Router tcp 200 til 65535
iptables -t nat -A POSTROUTING -i eth1 -p tcp --dport 200:65535 -j MASQUERADE
# Router udp 200 til 65535
iptables -t nat -A POSTROUTING -i eth1 -p udp --dport 200:65535 -j MASQUERADE

Fordelen ved at have en proxy (som squid) er at internet siderne bliver casched så der bliver sparet lidt båndbrede på det.
Avatar billede thetoastmaster Juniormester
30. januar 2005 - 19:51 #5
ok,,
jeg vil nu mere at den kan bruges på den måde, det er et spørsmål om regler, men der skal jo så læses lidt på det,,,
Avatar billede langbein Nybegynder
31. januar 2005 - 00:10 #6
Det er ikke vanlig å konfigurere Linux firewalls på den måten som står like over. Vil på den annen side ikke se bort i fra at dette prinsippet kan fungere.

Vanligvis så bruker man bare en Maquerade setning der man setter opp en nat for hele forbindelsen. Der etter så fjerner man den trafikken man ønsker ved hjelp av filtering rules. Prinsippet med flere Masqurade setninger kan godt tenkes å fungere selv om det ikke er vanlig. Hvis det fungerer så vil reglene over kun tillate trafikk ut på for icmp (pin) udp 53 (dns requests) og tcp/udp høyere enn port 200. Det ser for eksempel ikke ut til å være åpning ut på port 80, slik at ingen kan surfe på nett.

Denne må vel være en "feiltrykk": iptables -P ACCEPT

Går ut fra at det skal være "iptables -P INPUT ACCEPT"

Hvis man benytter 3 stk ACCEPT så betyr dette at selve gateway maskinen blir stående helt ubeskyttet. (Denne beskyttes av input/output chain. Maskinene på lan vil uansett være beskyttet av nat, hvis man bruker dette (MASQUERADE).)

Har laget et forsøk på en revisjon av en firewall script generator. Tror ikke den gir feilfritt script ennå, men det kan da være noe å starte ut i fra:

http://www.im-learning.com/iptables/

Når det gjelder trafikkmonitoring, så har jeg aldri testet ntop (tror jeg) Den ser ellers spennede ut. Det finnes ellers en gammel "traver" for trafikkmonitoring ved navn "iptraf". Har brukt den en del og har vært godt fornøyd. Den er meget enkel å bruke og den trekker nesten ingen resurser.

Ellers hvis man bare skal enkelt og hurtig opp å kjøre med en firewall + proxy som fungerer, så er jo Smoothwall også et alternativ. Konfigureres via et web grensenittt og man kan være opp å kjøre i løpet av en halvtime, uten å tenke script og slike ting. (Det er en komplett Linux distribusjon som er laget kun for å være firewall / proxy)

http://www.smoothwall.org
Avatar billede webcreator Nybegynder
31. januar 2005 - 00:32 #7
Hm, er det egentlig ikke muligt, at lave filtre til Ethereal, så det fungerer som en firewall? I givet fald, hvordan gør man så dette, og kan I give nogle eksempler på filtre jeg kan bruge og ændre på?
Avatar billede gozar Nybegynder
31. januar 2005 - 00:40 #8
langbein>
Jeg går ud over det delvis er en kritik til mig. Dertil kan jeg kun sige, du har abselut ret, med untagelsesvis teoretisk. Det virker i praktis.

Jeg er dog ikke enig i at maskinen står fundstændig ubeskyttet med 3 stk ACCEPT. Om maskinen svare, med at der ikke er et program der lytter på den givende port, eller nægter den givende port svare, så er resultatet det samme. Men man belemere måske maskinen i den anden ende med en timeout. I sidste ende handler det jo om buggy software.
Avatar billede webcreator Nybegynder
31. januar 2005 - 00:48 #9
Jeg har lige indset, at Ethereal er et rent analyse-værktøj. Filtering dækker blot over filtrering af data.
Avatar billede langbein Nybegynder
01. februar 2005 - 14:17 #10
gozar ->
Det var nå ikke så mye ment som en kritikk. Det var nå egentlig mest for å nevne det med de tre chains som står åpne.

Webcreator ->
Ja Ethereal er et rent analyseverktøy, og når det er mye trafikk så produserer den lett en nesten uoverskuleig mengde data. "iptraf" er et kraftig forenklet verktøy som bare viser hvilken trafikk som kjører her og nå, altså ingen logging av historiske data slik som ethereal. iptraf gir derfor et øyeblikksbilde som det er langt enklere å overskue.
Avatar billede webcreator Nybegynder
14. februar 2005 - 18:10 #11
Tak for hjælpen :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
htaccess virker ikke på Ubuntu Server Af Strawberry i Linux 1 03/01/202621:50 04/01/202615:33
squid server på en ubuntu 25.10 server Af dcedata1977 i Linux 6 15/12/202514:45 21/12/202517:52
Chromium Netbrowser har Yahoo - Kan jeg skifte til Google ? Hvordan Af Ikke-ekspert i Linux 2 04/10/202518:24 05/10/202511:32
Debian - Map drev/folder på AS400 V4R4 Af ingeman i Linux 7 08/09/202515:27 10/09/202512:18
Windows server 2025 Datacenter Af ingeman i Linux 9 02/09/202509:00 02/09/202513:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
22/0120:51 Knap til ipad Af FinnLauridsen i Excel
21/0113:53 Icloud mail via Outlook Af lbc i E-mail programmer
21/0108:32 USB NØGLE gratis Af nu_igen i Andet hardware
20/0121:11 Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP
20/0116:10 Tomt felt i Start Af ErikHg i Windows
White papers
Flere white papers »