Sie sind nicht angemeldet.

[gelöst] firewall port freischalten

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

joku

Anfänger

  • »joku« ist der Autor dieses Themas

Beiträge: 12

  • Nachricht senden

1

28.03.2006, 13:27

[gelöst] firewall port freischalten

Hallo,

auf unserem Debian-Server läuft opencms(jakarta Anwendung). Damit man von jedem Rechner aus dem Netzwerk sich in Opencms einloggen kann, möchte ich bei der Firewall den Port 8080 für die Rechner freischalten.

Kann mir jemand direkt helfen oder indirekt indem er mir einen Link zu guter Dokumentation zu diesem Thema schickt?

Danke.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

2

28.03.2006, 13:44

RE: firewall port freischalten

ist das ein server im lan oder im internet?
habt ihr ein config-werkzeug für die firewall oder iptables-scripte?
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

joku

Anfänger

  • »joku« ist der Autor dieses Themas

Beiträge: 12

  • Nachricht senden

3

28.03.2006, 14:37

Der Server ist ans Internet angeschlossen, aber es ist kein Webserver. Unsere Internetseite wird per sitecopy auf einen Webserver kopiert. Der einzige Zugriff auf unseren Server von außen der erlaubt ist, ist ein ssh login mit fester Ip die in der Firewall eingetragen ist. Der Port soll nur für die Rechner im Lan freigeschaltet werden.
Für die Firewall benutzen wir iptables-scripte.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

4

28.03.2006, 14:54

da würde ich in die INPUT-chain einfach eine regel für das port mit aufnehmen. ob auch eine output-regel nötig ist, oder ob outputs vom server zu den clienten generell erlaubt sind, kann man nur nach einem blick in das script wissen. hier also eine input regel. dabei nehme ich an, dass die clienten über eth0 angebunden sind und sich im netz 192.168.0.0/255.255.255.0 befinden

Quellcode

 
1

iptables -A INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -p tcp --dport 8080 -j ACCEPT
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

joku

Anfänger

  • »joku« ist der Autor dieses Themas

Beiträge: 12

  • Nachricht senden

5

28.03.2006, 15:15

Vielen Dank für die schnelle Antwort. Werde es jetzt erstmal ausprobieren.
Wäre das Posten des scripts nicht fahrlässig?

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

6

28.03.2006, 15:32

wenn ein fehler drin ist, auf jeden fall =D.
wenn deine denys in der firewall geloggt werden, siehst du ja ob der server die outputs an die clienten schicken kann oder nicht.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

7

28.03.2006, 16:24

Input...

....da sollte man den OUTPUT nicht vergessen.

Zumindest RELATED, ESTABLISHED freigeben. :)
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

8

28.03.2006, 16:34

RE: Input...

@bonsai

wie gesagt, nichts genaues weiß man nicht. wenn der server eventuell auch etwas an die clients schicken soll =D ist ja denkbar, dass output schon generell oder auf established/related zugelassen ist und unnötig mehrfachregeln reinzuschmieren ist auch keine so gute idee. mal sehen was joku antwortet.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

9

28.03.2006, 16:51

....finde den Tipp...

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -X
iptables -F
iptables -Z

...ganz gut....das hilft ab-und-an beim Lesen. (Zumindest wenn man keinen lokalen Zugang auf dem Rechner hat..... *hehe*
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

joku

Anfänger

  • »joku« ist der Autor dieses Themas

Beiträge: 12

  • Nachricht senden

10

29.03.2006, 14:42

Ich muss erst Montag wieder arbeiten, aber danke für eure weiteren Antworten. Soweit ich das richtig verstanden habe, sind outputs erlaubt. Muß es nicht immer so sein bei einem samba server?

Könnt ihr mir ein gutes Tutorial empfehlen in dem die Befehle des iptables scripts erklärt werden. Ich blicke da nämlich leider nur zur Hälfte durch und das könnte böse Folgen haben.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

11

29.03.2006, 14:54

Zitat

Original von joku
Ich muss erst Montag wieder arbeiten, aber danke für eure weiteren Antworten. Soweit ich das richtig verstanden habe, sind outputs erlaubt. Muß es nicht immer so sein bei einem samba server?

das ausgaben an die clients erlaubt werden, macht natürlich sinn, dass muss aber nicht heißen, das ALLE ausgaben zugelassen sind.

Zitat


Könnt ihr mir ein gutes Tutorial empfehlen in dem die Befehle des iptables scripts erklärt werden. Ich blicke da nämlich leider nur zur Hälfte durch und das könnte böse Folgen haben.

kurz in deutsch
sehr ausführlich (englisch)
ansonsten wirst du mit google fündig, tutorials gibts wie sand am meer.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

12

29.03.2006, 16:43

....

Zitat

Ich muss erst Montag wieder arbeiten, aber danke für eure weiteren Antworten. Soweit ich das richtig verstanden habe, sind outputs erlaubt. Muß es nicht immer so sein bei einem samba server?


Nein - ich wuerde das auch nicht machen. In diesem Fall reichen die Windoof-Ports und Verbindungen, die ueber diesen Port gehen.

Je weniger erlaubt ist umso sicherer ist das Ganze.
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

joku

Anfänger

  • »joku« ist der Autor dieses Themas

Beiträge: 12

  • Nachricht senden

13

24.04.2006, 13:42

Im Script steht zum Thema outpouts:

Quellcode

 
1

iptables -P OUTPUT DROP

aber eben auch:

Quellcode

 
1

 iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Bedeuted doch dass Outputs von bestehenden Verbindungen erlaubt sind, während alle anderen (Packetanfragen?) ohne Rückmeldung abgewiesen werden.

Also sollte ein Input Regel für den Port 8080 reichen, damit sich die Clients anmelden können. Ist die Opencms Verbindung hergestellt, kann auch ein Output erfolgen.

Erste Frage: Stimmt dass da oben?


Den vorgeschlagenen Befehl habe ich entsprechend angepasst(andere Ip Nummern). Hat aber leider nicht funktioniert.

Quellcode

 
1

iptables -A INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -p tcp --dport 8080 -j ACCEPT


Ich habe die Zeile in das Script eingefügt und das Script ausgeführt.

Zweite Frage:
Sollte ich vor jeden Test des veränderten Scripts , ein iptables -X und vielleicht noch ein iptables -Z und -F ausführen - vorausgesetzt dies ist nicht ins Script eingebaut?

[-F und -X ist in einer if Bedingung eingebaut. -Z überhaupt nicht.]

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

14

25.04.2006, 15:47

es ist nicht nur wichtig, dass die zeile eingefügt wird, sondern auch wo sie eingefügt wird. die firewall durchläuft die regelketten, bis eine zum paket passende gefunden wird. diese regel wird dann angewendet, die restlichen werden ignoriert. die default-policy gilt nur für pakete für die keine andere regel zutrifft. wenn also vor deiner input regel eine drop-regel zutrifft, werden die pakete gedropt und deine regel ist nutzlos.
du solltest deshalb testen, ob deine input regel abgearbeitet wird. baue ein logging für diese regel ein und schaue noch, ob die regel bei einem clientzugriff abgearbeitet wird.
zb so

Quellcode

 
1
2

iptables -A INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -p tcp --dport 8080 -j LOG --log-level debug --log-prefix "Der Input klappt "
iptables -A INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -p tcp --dport 8080 -j ACCEPT

wenn ein paket eintrifft auf das deine regel angewendet wird, so erhälst du in der /var/log/debug eine entsprechende meldung "Der Input klappt ".
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Xagul

Anfänger

  • »Xagul« ist männlich

Beiträge: 3

  • Nachricht senden

15

15.05.2006, 16:03

Hallo,

ich hab mir das hier mal angeschaut und habe ähnliche probleme... und zwar hab ich ein laufendes linux->windows netz mit samba 2.. funkt alle prächtig wenn ich von innen arbeite... will ich mich jetzt aber von ausen per ssh einlogen oder versuche auf die samba freigaben zukommen geht garnix... ssh wird geblockt aber ich weiss nicht warum. dann wäre es klasse wenn ich von ausen irgendwie auf die samba freigaben zugreifen könnte, ich möchte deswegen aber kein ftp installieren sondern direckt auf die samba freigaben zugreifen können. tunnelen per ssh wäre ne klase sache nur hab ich damit keine erfahrung. kennt hier vll jmd ein tut oder eine gute page wo ich mich shclau machen kann? oder besser kann mir wer direckt helfen?


ssh zugriff von aussen(sprich internet)
zugriff auf samba-freigaben auch von aussen.

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

16

15.05.2006, 17:00

in der suse-firewall ist das schon vorbereitet. in den confic-scripten unter /etc/rc.config.d/SuSEfirewall....... kann man entsprechende einträge für den ssh-zugriff freischalten. ein direktes eingreifen in die iptables ist nicht notwendig. die config-scripte sind im inneren auch recht gut documentiert. von einer freigabe der samba-shares in das internet ist DRINGEND abzuraten, da sie ein großes sicherheitsproblem darstellen. sinnvoller ist die öffnung eines ssh-tunnels (oder zb open-vpn) um dann über den verschlüsselten kanal auf die samba-shares zuzugreifen.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

joku

Anfänger

  • »joku« ist der Autor dieses Themas

Beiträge: 12

  • Nachricht senden

17

22.05.2006, 09:30

Habe es letzte Woche endlich geschafft. Das Problem war, dass die Anfragen nie bis zur eingefügten Zeile gekommen sind, sondern schon vorher abgeblockt wurden.


Vielen Dank für die Hilfe!

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

18

22.05.2006, 14:39

vielen dank für die rückmeldung :)
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.
Thema bewerten