---

Er det muligt at sætte en firewall fornuftigt op i linux ?
Jeg har prøvet at sætte lidt sammen, men der er sikkert mange her der ved
bedre .
Er der efterladt nogen umiddelbare huller i nedenst. config.
redhat 7.1 opgraderet med up2date
xinetd er helt fjernet, maskinen skal ikke køre nogen services.
eth0 er officiel ip og eth1 er internt net.
Kun ssh porten er åben, (og evt. port 10000 webmin)
Burde jeg evt sætte ip-nummer på source til ssh / webmin, hvis jeg altid
kører den fra samme adresse ?

ipchains -F
ipchains -P input DENY
ipchains -P output ACCEPT
ipchains -P forward DENY
ipchains -A input -p all -j ACCEPT -i lo
ipchains -A input -p all -j ACCEPT -i eth1
ipchains -A input -p all -s 10.0.0.0/255.255.255.0 -j DENY -i eth0
ipchains -A input -p tcp -j ACCEPT \! -y
ipchains -A input -p tcp -j ACCEPT -s 0/0 ssh -d 0/0 22:22 -y
ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096 -y
ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096
ipchains -A input -p udp -j ACCEPT -d 0/0 32768:37769
ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
ipchains -A input -p icmp -j ACCEPT
ipchains -A input --log
ipchains -A forward -j MASQ -s 10.0.0.0/24 -i eth0

/Karsten

---

Karsten <dk@dk.dk> wrote:
> Kun ssh porten er åben, (og evt. port 10000 webmin)

Hvad skal du saa med en firewall? Ingen grund til at bringe endnu et stykke
software ind i hvad dit OS ville goere for dig. (Afvise connect forsoeg til
en service som ikke findes.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Karsten <dk@dk.dk> wrote:
>> Kun ssh porten er åben, (og evt. port 10000 webmin)
>
> Hvad skal du saa med en firewall? Ingen grund til at bringe endnu et
> stykke software ind i hvad dit OS ville goere for dig. (Afvise connect
> forsoeg til en service som ikke findes.)

Han skriver, at han har et netkort sluttet til internettet og et
netkort sluttet til det interne net - han beskytter altså sit interne
net og ikke selve firewall-boksen.

Det gi'r da i mine øjne ganske udemærket mening....

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I would never kill somebody
- unless they pissed me off!
-- Eric Cartman
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> wrote:
> Alex Holst wrote:
>> Hvad skal du saa med en firewall? Ingen grund til at bringe endnu et
[..]
>
> Han skriver, at han har et netkort sluttet til internettet og et
> netkort sluttet til det interne net - han beskytter altså sit interne
> net og ikke selve firewall-boksen.

Ha. Der var jeg lidt for hurtig.

>> Burde jeg evt sætte ip-nummer på source til ssh / webmin, hvis jeg altid
>> kører den fra samme adresse ?

Det vil goere det lidt mere besvaerligt at naa disse services, men at bruge
noget andet end passwords som authentication er lidt vigtigere i dette
tilfaelde. Jeg kendte ikke webmin saa jeg sagde hej til Google. Jeg kan se
at Webmin er en bunke CGIs scripts skrevet i Perl hvor mindst eet af dem skal
koere som root. Hvis du har muligheden for det, boer du faa lavet et kode
review af systemet.

>> ipchains -F
>> ipchains -P input DENY
>> ipchains -P output ACCEPT

En firewall skal noeje vaere tilpasset dit miljoe. Jeg ville foerst og
fremmest ikke bruge ipchains da den ikke er stateful. Det er muligt at snyde
pakker forbi den. Jeg ville ogsaa overveje om det er paakraevet af der
bliver tilladt alt adgang ud.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Karsten wrote:

> Er det muligt at sætte en firewall fornuftigt op i linux ?

Ja.

> Er der efterladt nogen umiddelbare huller i nedenst. config.
> redhat 7.1 opgraderet med up2date

Jeg har aldrig brugt up2date - jeg plejer at opgradere tingene manuelt
efterhånden som fejlrettelser dukker op...

> xinetd er helt fjernet, maskinen skal ikke køre nogen services.

Det er ok.

> eth0 er officiel ip og eth1 er internt net.
> Kun ssh porten er åben, (og evt. port 10000 webmin)

Webmin er vel altid en sikkerhedsrisiko - administrationsværktøjer skal
man passe på med at åbne for (IMHO). Men jeg kender ikke webmin, så jeg
kan ikke sige, om det er en sikker tjeneste...

> Burde jeg evt sætte ip-nummer på source til ssh / webmin, hvis jeg
> altid kører den fra samme adresse ?

SSH skulle være sikker nok at have åben fra hele verden - så kan du
også fikse et problem fra internettet, hvis du en dag opdager et
problem mens du ikke er hjemme...

Som sagt kender jeg ikke webmin - men medmindre det er krypteret og med
kodeord ville jeg straks lukke for det - evt. begrænse adgang til en
bestemt IP-adresse, hvor pakkerne ikke skal runde internettet...

> ipchains -F

Hvorfor ipchains? iptables er et megt stærere værktøj.

> ipchains -P input DENY
> ipchains -P output ACCEPT
> ipchains -P forward DENY
> ipchains -A input -p all -j ACCEPT -i lo
> ipchains -A input -p all -j ACCEPT -i eth1
> ipchains -A input -p all -s 10.0.0.0/255.255.255.0 -j DENY -i eth0
> ipchains -A input -p tcp -j ACCEPT \! -y
> ipchains -A input -p tcp -j ACCEPT -s 0/0 ssh -d 0/0 22:22 -y
> ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096

Kun fra port 56000 eller højere? Med iptables og -m RELATED,ESTABLISHED
slipper du helt for at spekulere over ftp-data - og du kan også bruge
passiv ftp.

> -y ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096

Igen: Kun porte over 56000?

> ipchains -A input -p udp -j ACCEPT -d 0/0 32768:37769

Skal folk kunne tracerout'e dig eller hvad? Hvorfor er det interessant?

> ipchains -A input -p icmp -s 0/0 redirect -j DENY --log
> ipchains -A input -p icmp -s 0/0 timestamp-request -j DENY --log
> ipchains -A input -p icmp -s 0/0 address-mask-request -j DENY --log
> ipchains -A input -p icmp -j ACCEPT
> ipchains -A input --log
> ipchains -A forward -j MASQ -s 10.0.0.0/24 -i eth0

Ellers ser det ok ud - hvis du altså har brug for alle udgående porte...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I'm a bastard. I have absolutely no clue why people can ever think
otherwise. Yet they do. People think I'm a nice guy, and the fact is
that I'm a scheming, conniving bastard who doesn't care for any hurt
feelings or lost hours of work if it just results in what I consider
to be a better system.
- Linus Torvalds
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Den Wed, 29 Aug 2001 02:36:30 +0200 skrev Rasmus Bøg Hansen:
>Karsten wrote:
>
>> ipchains -A input -p tcp -j ACCEPT -s 0/0 ftp-data -d 0/0 56000:65096
>
>Kun fra port 56000 eller højere? Med iptables og -m RELATED,ESTABLISHED
>slipper du helt for at spekulere over ftp-data - og du kan også bruge
>passiv ftp.
>
>> -y ipchains -A input -p udp -j ACCEPT -s 0/0 domain -d 0/0 56000:65096
>
>Igen: Kun porte over 56000?

Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
under 2.2 (ipchains).

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

Kent Friis <mailto:kfr@fleggaard.dk> wrote in dk.edb.sikkerhed:

[...]

> Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
> under 2.2 (ipchains).

Nix. Det er 61000-65535 som udgangspunkt for selve masq. Det kan muligvis
være anderledes i de kerner der følger med til rødhætte.

> Kent

--
H e n r i k B o e g h ^ http://henrik.boegh.net/
*** There's an X_ to much in my email address ***
"Don´t let life get you down ....that´s what Girls are for!!! "
- bemf på #Partyline

---

Den Wed, 29 Aug 2001 20:42:54 +0200 skrev Henrik Boegh:
>Kent Friis <mailto:kfr@fleggaard.dk> wrote in dk.edb.sikkerhed:
>
>[...]
>
>> Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
>> under 2.2 (ipchains).
>
>Nix. Det er 61000-65535 som udgangspunkt for selve masq. Det kan muligvis
>være anderledes i de kerner der følger med til rødhætte.

Øv. Det er for længe siden jeg skiftede til 2.4/iptables

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

Henrik Boegh <henrik@boegh.X_net> wrote:

>> Fra 56000 og op (til ?) er de porte der bliver brugt af masquerading
>> under 2.2 (ipchains).

>Nix. Det er 61000-65535 som udgangspunkt for selve masq.

Ikke helt. Det er som standard 61000-65096, defineret i
include/net/ip_masq.h.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Tak for alle svarene, jeg kan se jeg skal ind og læse lidt mere, og måske
gøre den intere aadgan lidt mere restriktiv.
Det er selvf. ikke nødvendigt at køre webmin, man kunne jo altid logge ind
på maskinen, og starte den op, hvis man skulle bruge den.

/Karsten