/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Red hat firewall ?
Fra : Karsten


Dato : 28-08-01 23:12

Er det muligt at sætte en firewall fornuftigt op i linux ?
Jeg har prøvet at sætte lidt sammen, men der er sikkert mange her der ved
bedre .
Er der efterladt nogen umiddelbare huller i nedenst. config.
redhat 7.1 opgraderet med up2date
xinetd er helt fjernet, maskinen skal ikke køre nogen services.
eth0 er officiel ip og eth1 er internt net.
Kun ssh porten er åben, (og evt. port 10000 webmin)
Burde jeg evt sætte ip-nummer på source til ssh / webmin, hvis jeg altid
kører den fra samme adresse ?

ipchains -F
ipchains -P input DENY
ipchains -P output ACCEPT
ipchains -P forward DENY
ipchains -A input -p all -j ACCEPT -i lo
ipchains -A input -p all -j ACCEPT -i eth1
ipchains -A input -p all -s 10.0.0.0/255.255.255.0 -j DENY -i eth0
ipchains -A input -p tcp -j ACCEPT \! -y
ipchains -A input -p tcp -j ACCEPT -s 0/0 ssh -d 0/0 22:22 -y
ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096 -y
ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096
ipchains -A input -p udp -j ACCEPT -d 0/0 32768:37769
ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
ipchains -A input -p icmp -j ACCEPT
ipchains -A input --log
ipchains -A forward -j MASQ -s 10.0.0.0/24 -i eth0

/Karsten




 
 
Alex Holst (28-08-2001)
Kommentar
Fra : Alex Holst


Dato : 28-08-01 23:49

Karsten <dk@dk.dk> wrote:
> Kun ssh porten er åben, (og evt. port 10000 webmin)

Hvad skal du saa med en firewall? Ingen grund til at bringe endnu et stykke
software ind i hvad dit OS ville goere for dig. (Afvise connect forsoeg til
en service som ikke findes.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Rasmus Bøg Hansen (29-08-2001)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 29-08-01 01:11

Alex Holst wrote:

> Karsten <dk@dk.dk> wrote:
>> Kun ssh porten er åben, (og evt. port 10000 webmin)
>
> Hvad skal du saa med en firewall? Ingen grund til at bringe endnu et
> stykke software ind i hvad dit OS ville goere for dig. (Afvise connect
> forsoeg til en service som ikke findes.)

Han skriver, at han har et netkort sluttet til internettet og et
netkort sluttet til det interne net - han beskytter altså sit interne
net og ikke selve firewall-boksen.

Det gi'r da i mine øjne ganske udemærket mening....

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I would never kill somebody
- unless they pissed me off!
-- Eric Cartman
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Alex Holst (29-08-2001)
Kommentar
Fra : Alex Holst


Dato : 29-08-01 07:07

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> wrote:
> Alex Holst wrote:
>> Hvad skal du saa med en firewall? Ingen grund til at bringe endnu et
[..]
>
> Han skriver, at han har et netkort sluttet til internettet og et
> netkort sluttet til det interne net - han beskytter altså sit interne
> net og ikke selve firewall-boksen.

Ha. Der var jeg lidt for hurtig.

>> Burde jeg evt sætte ip-nummer på source til ssh / webmin, hvis jeg altid
>> kører den fra samme adresse ?

Det vil goere det lidt mere besvaerligt at naa disse services, men at bruge
noget andet end passwords som authentication er lidt vigtigere i dette
tilfaelde. Jeg kendte ikke webmin saa jeg sagde hej til Google. Jeg kan se
at Webmin er en bunke CGIs scripts skrevet i Perl hvor mindst eet af dem skal
koere som root. Hvis du har muligheden for det, boer du faa lavet et kode
review af systemet.

>> ipchains -F
>> ipchains -P input DENY
>> ipchains -P output ACCEPT

En firewall skal noeje vaere tilpasset dit miljoe. Jeg ville foerst og
fremmest ikke bruge ipchains da den ikke er stateful. Det er muligt at snyde
pakker forbi den. Jeg ville ogsaa overveje om det er paakraevet af der
bliver tilladt alt adgang ud.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Rasmus Bøg Hansen (29-08-2001)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 29-08-01 01:37

Karsten wrote:

> Er det muligt at sætte en firewall fornuftigt op i linux ?

Ja.

> Er der efterladt nogen umiddelbare huller i nedenst. config.
> redhat 7.1 opgraderet med up2date

Jeg har aldrig brugt up2date - jeg plejer at opgradere tingene manuelt
efterhånden som fejlrettelser dukker op...

> xinetd er helt fjernet, maskinen skal ikke køre nogen services.

Det er ok.

> eth0 er officiel ip og eth1 er internt net.
> Kun ssh porten er åben, (og evt. port 10000 webmin)

Webmin er vel altid en sikkerhedsrisiko - administrationsværktøjer skal
man passe på med at åbne for (IMHO). Men jeg kender ikke webmin, så jeg
kan ikke sige, om det er en sikker tjeneste...

> Burde jeg evt sætte ip-nummer på source til ssh / webmin, hvis jeg
> altid kører den fra samme adresse ?

SSH skulle være sikker nok at have åben fra hele verden - så kan du
også fikse et problem fra internettet, hvis du en dag opdager et
problem mens du ikke er hjemme...

Som sagt kender jeg ikke webmin - men medmindre det er krypteret og med
kodeord ville jeg straks lukke for det - evt. begrænse adgang til en
bestemt IP-adresse, hvor pakkerne ikke skal runde internettet...

> ipchains -F

Hvorfor ipchains? iptables er et megt stærere værktøj.

> ipchains -P input DENY
> ipchains -P output ACCEPT
> ipchains -P forward DENY
> ipchains -A input -p all -j ACCEPT -i lo
> ipchains -A input -p all -j ACCEPT -i eth1
> ipchains -A input -p all -s 10.0.0.0/255.255.255.0 -j DENY -i eth0
> ipchains -A input -p tcp -j ACCEPT \! -y
> ipchains -A input -p tcp -j ACCEPT -s 0/0 ssh -d 0/0 22:22 -y
> ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096

Kun fra port 56000 eller højere? Med iptables og -m RELATED,ESTABLISHED
slipper du helt for at spekulere over ftp-data - og du kan også bruge
passiv ftp.

> -y ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096

Igen: Kun porte over 56000?

> ipchains -A input -p udp -j ACCEPT -d 0/0 32768:37769

Skal folk kunne tracerout'e dig eller hvad? Hvorfor er det interessant?

> ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
> ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
> ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
> ipchains -A input -p icmp -j ACCEPT
> ipchains -A input --log
> ipchains -A forward -j MASQ -s 10.0.0.0/24 -i eth0

Ellers ser det ok ud - hvis du altså har brug for alle udgående porte...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I'm a bastard. I have absolutely no clue why people can ever think
otherwise. Yet they do. People think I'm a nice guy, and the fact is
that I'm a scheming, conniving bastard who doesn't care for any hurt
feelings or lost hours of work if it just results in what I consider
to be a better system.
- Linus Torvalds
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Kent Friis (29-08-2001)
Kommentar
Fra : Kent Friis


Dato : 29-08-01 19:01

Den Wed, 29 Aug 2001 02:36:30 +0200 skrev Rasmus Bøg Hansen:
>Karsten wrote:
>
>> ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096
>
>Kun fra port 56000 eller højere? Med iptables og -m RELATED,ESTABLISHED
>slipper du helt for at spekulere over ftp-data - og du kan også bruge
>passiv ftp.
>
>> -y ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096
>
>Igen: Kun porte over 56000?

Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
under 2.2 (ipchains).

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Henrik Boegh (29-08-2001)
Kommentar
Fra : Henrik Boegh


Dato : 29-08-01 19:43

Kent Friis <mailto:kfr@fleggaard.dk> wrote in dk.edb.sikkerhed:

[...]

> Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
> under 2.2 (ipchains).

Nix. Det er 61000-65535 som udgangspunkt for selve masq. Det kan muligvis
være anderledes i de kerner der følger med til rødhætte.

> Kent

--
H e n r i k B o e g h ^ http://henrik.boegh.net/
*** There's an X_ to much in my email address ***
"Don´t let life get you down ....that´s what Girls are for!!! "
- bemf på #Partyline


Kent Friis (29-08-2001)
Kommentar
Fra : Kent Friis


Dato : 29-08-01 20:04

Den Wed, 29 Aug 2001 20:42:54 +0200 skrev Henrik Boegh:
>Kent Friis <mailto:kfr@fleggaard.dk> wrote in dk.edb.sikkerhed:
>
>[...]
>
>> Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
>> under 2.2 (ipchains).
>
>Nix. Det er 61000-65535 som udgangspunkt for selve masq. Det kan muligvis
>være anderledes i de kerner der følger med til rødhætte.

Øv. Det er for længe siden jeg skiftede til 2.4/iptables

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Jesper Dybdal (30-08-2001)
Kommentar
Fra : Jesper Dybdal


Dato : 30-08-01 10:27

Henrik Boegh <henrik@boegh.X_net> wrote:

>> Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
>> under 2.2 (ipchains).

>Nix. Det er 61000-65535 som udgangspunkt for selve masq.

Ikke helt. Det er som standard 61000-65096, defineret i
include/net/ip_masq.h.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Karsten (31-08-2001)
Kommentar
Fra : Karsten


Dato : 31-08-01 18:09

Tak for alle svarene, jeg kan se jeg skal ind og læse lidt mere, og måske
gøre den intere aadgan lidt mere restriktiv.
Det er selvf. ikke nødvendigt at køre webmin, man kunne jo altid logge ind
på maskinen, og starte den op, hvis man skulle bruge den.

/Karsten



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste