CentOS 7 : router instellen

woensdag 10 februari 2016 08:35

Acties:

0 Henk 'm!

Topicstarter

Beste,

Voor dit soort probleem zou ik normaal gezien naar de linux userclub gaan. Echter is die bij mij in de buurt niet meer actief.
Vandaar de vraag hier.

Ik zou graag een router / firewall maken met als CentOS 7 als operating system.
Het is een server dat een documentmanagement systeem draait en bereikbaar moet zijn via http van buitenuit.
Achter deze server zou ik een pc willen plaatsen die enkel via hhtp en ssh van de server benadert mag worden. De rest van de wereld mag die pc niet zien!
Vanuit de pc mag wel alles naar buiten en binnen. (http, ftp, poort 12345, ...)

In de server zitten 2 netwerkkaarten. dhcp zou moeten werken. De pc krijgt toch een IP-adres.
De iptables heb ik opgesteld, maar krijg ik niet in orde.
Heeft iemand een standaard-oplossing iptables bestand?

mvg,
Eric

donderdag 18 februari 2016 09:23

Hero of Time

Moderator LNX

There is only one Legend

Hoe bedoel je, het 'slot checken'? Je kan met een ander systeem via nmap of andere poortscanner kijken wat er open staat en met telnet e.d. kan je kijken of je er verbinding op kan maken.

Commandline FTW | Tweakt met mate

woensdag 10 februari 2016 09:00

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Standaard oplossingen heb je niet. Je kan beginnen met het plaatsen van je huidige iptables (in code blokken) en de resultatent die je krijgt. Maak ook voor jezelf een plaatje met wat je nou wilt doen, want zoals ik het zie, ben je verkeerd aan het denken. Ga maar na, de wereld mag die PC niet zien, maar het moet wel benaderbaar zijn vanaf de server. Hoe zou je dat nou moeten doen?

Commandline FTW | Tweakt met mate

woensdag 10 februari 2016 13:36

Acties:

0 Henk 'm!

Thulium

En als je moeite hebt met het opstellen van de iptables commando's zou je eventueel nog kunnen kijken naar http://www.fwbuilder.org/

Let wel op, fwbuilder heeft geen ondersteuning voor firewalld (wat imho ook een kansloos verwarrend stuk tooling is). Dus als je het op Centos 7 wilt draaien moet je eerst de iptables service enablen en firewalld disablen. Zie ook hier: http://www.putorius.net/2...-and-use-iptables-on.html

Het enige wat je dan nog moet regelen is dat iptables bij het opstarten de configuratie inleest. De makkelijkste methode is het script wat fwbuilder genereert opnemen in je opstart routine.

woensdag 10 februari 2016 14:30

Acties:

0 Henk 'm!

Yarisken

Kan je niet beter pfsense gebruiken hiervoor ? Da's een router / firewall met een nette interface.

donderdag 11 februari 2016 08:23

Acties:

0 Henk 'm!

ericvanb

Topicstarter

ericvanb schreef op woensdag 10 februari 2016 @ 08:35:
Beste,

Voor dit soort probleem zou ik normaal gezien naar de linux userclub gaan. Echter is die bij mij in de buurt niet meer actief.
Vandaar de vraag hier.

Ik zou graag een router / firewall maken met als CentOS 7 als operating system.
Het is een server dat een documentmanagement systeem draait en bereikbaar moet zijn via http van buitenuit.
Achter deze server zou ik een pc willen plaatsen die enkel via hhtp en ssh van de server benadert mag worden. De rest van de wereld mag die pc niet zien!
Vanuit de pc mag wel alles naar buiten en binnen. (http, ftp, poort 12345, ...)

In de server zitten 2 netwerkkaarten. dhcp zou moeten werken. De pc krijgt toch een IP-adres.
De iptables heb ik opgesteld, maar krijg ik niet in orde.
Heeft iemand een standaard-oplossing iptables bestand?

mvg,
Eric

iptables output hieronder:
[root@dms ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 3217 packets, 674K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3 192 ACCEPT all -- enp5s0 enp3s0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8 896 ACCEPT all -- enp3s0 enp5s0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 3450 packets, 804K bytes)
pkts bytes target prot opt in out source destination

client heeft een correct ip-adres gekregen van de server, maar ik kan de client niet bereiken (ping) en de client kan niet naar net internet

mvg,
eric

donderdag 11 februari 2016 08:38

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Nu snap ik nog minder van wat je wilt bereiken. Het zal vast heel helder in je hoofd zitten, maar het komt niet lekker hier terecht. Kan je eens stap voor stap uitleggen wat nou de bedoeling is?

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 08:47

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Hero of Time schreef op donderdag 11 februari 2016 @ 08:38:
Nu snap ik nog minder van wat je wilt bereiken. Het zal vast heel helder in je hoofd zitten, maar het komt niet lekker hier terecht. Kan je eens stap voor stap uitleggen wat nou de bedoeling is?

Moeilijk uit te leggen als leek, maar ik ga proberen.

De server hangt aan een bedrijfsnetwerk en op dit toestel draait een documentmanagementsysteem.
Het volledige bedrijfsnetwerk kan via browser het documentmanagementsysteem gebruiken.
In de server zit een 2de netwerkkaart en die is verbonden met een gewone pc.
Die pc mag niet gezien worden in het bedrijfsnetwerk, maar moet wel kunnen surfen, ftp, ssh, ...

mvg,
eric

donderdag 11 februari 2016 09:00

Acties:

0 Henk 'm!

donderdraak

@Eric Als ik het goed begrijp heeft je client wel de juiste ip maar kan je niet pingen op hostnaam

Heb je die client firewall icmp nagekeken?

Kan je op die client nslookup doen of die wel verbind met de juiste DNS-server?

Die pc mag niet gezien worden in het bedrijfsnetwerk, maar moet wel kunnen surfen, ftp, ssh, ...

Ik weet de situatie niet goed. Waarom plaats je die pc aan je netwerk/domein, want kan toch ook een proxy instellen in browser en vast ip meegeven en geen gateway geven, om maar iets te suggeren?

[ Voor 49% gewijzigd door donderdraak op 11-02-2016 09:06 ]

donderdag 11 februari 2016 09:08

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Oh, als dat alles is. Zoek dan eens naar 'internet sharing linux' en je krijgt genoeg hits over hoe je dat moet regelen. O.a. in /etc/sysctl.conf de ipv4.forwarding aanzetten en wat iptables regels (is er eigenlijk maar 1) uitvoeren voor NAT'ing.

Om het makkelijk te maken mbt DHCP e.d. kan je het beste de PC achter de server een vast IP geven. Zo voorkom je ook dat je per ongeluk een extra DHCP server op het bedrijfsnetwerk gooit en zo de boel kan slopen.

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 09:19

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Hero of Time schreef op donderdag 11 februari 2016 @ 09:08:
Oh, als dat alles is. Zoek dan eens naar 'internet sharing linux' en je krijgt genoeg hits over hoe je dat moet regelen. O.a. in /etc/sysctl.conf de ipv4.forwarding aanzetten en wat iptables regels (is er eigenlijk maar 1) uitvoeren voor NAT'ing.

Om het makkelijk te maken mbt DHCP e.d. kan je het beste de PC achter de server een vast IP geven. Zo voorkom je ook dat je per ongeluk een extra DHCP server op het bedrijfsnetwerk gooit en zo de boel kan slopen.

cat /etc/sysctl.conf
net.ipv4.ip_forward = 1
Zou correct moeten staan.

Sorry, maar ik heb al een aantal online handleidingen gevolgd, maar het lukt mij niet.

donderdag 11 februari 2016 09:40

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Wat lukt niet? Welke adressen zijn er in gebruik, heb je de NAT masquerade met iptables toegepast? Heb je voor CentOS 7 wel firewalld uitgeschakeld, gemasked en iptables ingeschakeld?

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 09:52

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Hero of Time schreef op donderdag 11 februari 2016 @ 09:40:
Wat lukt niet? Welke adressen zijn er in gebruik, heb je de NAT masquerade met iptables toegepast? Heb je voor CentOS 7 wel firewalld uitgeschakeld, gemasked en iptables ingeschakeld?

service firewalld is diabled en uit
service iptables is enabled

server kan online en heeft een IP gekregen van de dhcp-server in het bedrijfsnetwerk.
pc heeft een ip-adres (10.100.2.100) van de server (10.100.2.1)

netwerkkaart naar het bedrijfsnetwerk : enp5s0
netwerkkaart naar de pc : enp3s0

iptables die ik al heb gebruikt:

code:

[root@dms sysconfig]# cat iptables_old
# Generated by iptables-save v1.4.21 on Tue Feb  9 19:43:20 2016
*mangle
:PREROUTING ACCEPT [3027:451695]
:INPUT ACCEPT [1729:362965]
:FORWARD ACCEPT [410:42650]
:OUTPUT ACCEPT [561:136576]
:POSTROUTING ACCEPT [921:172780]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Tue Feb  9 19:43:20 2016
# Generated by iptables-save v1.4.21 on Tue Feb  9 19:43:20 2016
*nat
:PREROUTING ACCEPT [59:4794]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -o enp5s0 -j MASQUERADE
COMMIT
# Completed on Tue Feb  9 19:43:20 2016
# Generated by iptables-save v1.4.21 on Tue Feb  9 19:43:20 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [108:23023]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Tue Feb  9 19:43:20 2016

ik heb ook al geprobeerd met een bijna lege tabel:

code:

[root@dms sysconfig]# cat iptables
# Generated by iptables-save v1.4.21 on Thu Feb 11 08:19:37 2016
*filter
:INPUT ACCEPT [7598:2011835]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8363:2434279]
-A FORWARD -i enp5s0 -o enp3s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp3s0 -o enp5s0 -j ACCEPT
COMMIT
# Completed on Thu Feb 11 08:19:37 2016
# Generated by iptables-save v1.4.21 on Thu Feb 11 08:19:37 2016
*nat
:PREROUTING ACCEPT [195:10774]
:INPUT ACCEPT [28:1811]
:OUTPUT ACCEPT [2:116]
:POSTROUTING ACCEPT [1:84]
-A POSTROUTING -o enp5s0 -j MASQUERADE
-A POSTROUTING -o enp5s0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 11 08:19:37 2016

[ Voor 0% gewijzigd door Hero of Time op 11-02-2016 09:56 . Reden: leesbaarheid is alles ]

donderdag 11 februari 2016 09:59

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

De huidige regels lijken goed te zijn. Wat werkt momenteel niet dan? Wat kan je wel en wat niet?

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 10:03

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Hero of Time schreef op donderdag 11 februari 2016 @ 09:59:
De huidige regels lijken goed te zijn. Wat werkt momenteel niet dan? Wat kan je wel en wat niet?

ik krijg geen respons op een ping tussen server en pc.
Pc geraakt niet op internet. Of ping naar de buitenwereld gaat niet vanaf de pc. (ping google.com)

donderdag 11 februari 2016 11:09

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

En de uitvoer van ifconfig -a op beide machines? Klinkt als een gevalletje 'zit de kabel er wel in', al krijg je wel een IP adres blijkbaar. En geef ook gelijk even de routing tabel, want als de server het subnet van de client via de verkeerde interface afhandelt gaat het natuurlijk ook niet werken.

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 11:21

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Hero of Time schreef op donderdag 11 februari 2016 @ 11:09:
En de uitvoer van ifconfig -a op beide machines? Klinkt als een gevalletje 'zit de kabel er wel in', al krijg je wel een IP adres blijkbaar. En geef ook gelijk even de routing tabel, want als de server het subnet van de client via de verkeerde interface afhandelt gaat het natuurlijk ook niet werken.

De server is een centos7 en de pc is een gewone windows client.

dhcpd.conf hieronder:
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.example
# see dhcpd.conf(5) man page
#
ddns-update-style interim;

allow booting;
allow bootp;
authoritative;

ignore client-updates;
set vendorclass = option vendor-class-identifier;

subnet 10.100.2.0 netmask 255.255.255.0 {
interface enp3s0;
option routers 10.100.2.1;
option domain-name-servers 10.100.2.1;
option subnet-mask 255.255.255.0;
range 10.100.2.100 10.100.2.150;
default-lease-time 21600;
max-lease-time 43200;
next-server 10.100.2.1;
}

de kabel zit goed in: de client windows pc krijg het correcte dynamische adres (10.100.2.100)

donderdag 11 februari 2016 13:20

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Je geeft weer maar halve informatie met wat er gevraagd wordt. Het is allemaal nieuw voor je, maar even iets meer moeite doen mag best. We zijn geen helpdesk, dus wachten op een antwoord voordat je verder gaat is niet de bedoeling.

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 13:29

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Hero of Time schreef op donderdag 11 februari 2016 @ 13:20:
Je geeft weer maar halve informatie met wat er gevraagd wordt. Het is allemaal nieuw voor je, maar even iets meer moeite doen mag best. We zijn geen helpdesk, dus wachten op een antwoord voordat je verder gaat is niet de bedoeling.

Sorry, maar het is niet van niet te willen, het is van niet te kunnen!
Welke info ontbreekt er nog en hoe geraak ik daar aan?

Ik ken enkel de volgende bestanden:
- dhcpd.conf
- iptables
- sysctl.conf

ifconfig -a van de server hieronder:
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.100.2.1 netmask 255.255.255.0 broadcast 10.100.2.255
inet6 fe80::821f:2ff:fe2f:a9e0 prefixlen 64 scopeid 0x20<link>
ether 80:1f:02:2f:a9:e0 txqueuelen 1000 (Ethernet)
RX packets 46358 bytes 3881470 (3.7 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 12744 bytes 2255616 (2.1 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

enp5s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.111 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::224:8cff:fe8f:eb62 prefixlen 64 scopeid 0x20<link>
ether 00:24:8c:8f:eb:62 txqueuelen 1000 (Ethernet)
RX packets 126366 bytes 89616479 (85.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 141762 bytes 42729208 (40.7 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 0 (Local Loopback)
RX packets 185207 bytes 85476658 (81.5 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 185207 bytes 85476658 (81.5 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ipconfig /all van de windows-bak kan ik niet doen. Ik geraak er fysiek niet aan!

donderdag 11 februari 2016 13:40

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

ericvanb schreef op donderdag 11 februari 2016 @ 13:29:
[...]

Sorry, maar het is niet van niet te willen, het is van niet te kunnen!

Niet kunnen is niet mogelijk. Er is altijd een weg.

Welke info ontbreekt er nog en hoe geraak ik daar aan?

Welke info er mist? Misschien handig om even opnieuw lezen wat er allemaal gevraagd wordt en niet halverwege stoppen.

ipconfig /all van de windows-bak kan ik niet doen. Ik geraak er fysiek niet aan!

Je moet iets doen voor de Windows computer, maar je kan er zelf niets mee? Waarom moet je er dan wat mee doen? Je bent toch de beheerder van de systemen of niet? Zo niet, dan zou ik persoonlijk niets doen voor wie het ook maar wil. Ik sta geen systemen toe door mijn machine als ik er geen controle over heb. Nu kan je gaan zoeken tot je een ons weegt, maar als alles aan jouw kant goed is, kan je niets meer doen. Het probleem ligt dan aan de andere kant en daar mag je blijkbaar niet aan komen. Het houdt dan snel op, of niet?

Commandline FTW | Tweakt met mate

donderdag 11 februari 2016 15:35

Acties:

0 Henk 'm!

ericvanb

Topicstarter

Verstand slaat nu ongeveer dubbel!!!
Ik volg niet meer.

Ik zit nu achter de windows-pc en heb een ipconfig gedaan:
IPv4 Address = 10.100.2.100(Preferred) (dhcp op de server moet dan toch zijn werk gedaan hebben)
Sunet Mask= 255.255.255.0 (oke)
Default Gateway 10.100.2.1 (dit is het adres van de tweede nic in de server = dus oke)
DHCP Server 10.100.2.1 (idem hierboven dus oke)
DNS Servers 10.100.2.1 (???)

donderdag 11 februari 2016 15:41

Acties:

0 Henk 'm!

Vorkie

Nu nog even DNS instellen op 8.8.8.8

om te kijken of je nu kan internetten... doe een ping naar 8.8.8.8, werkt dat? Dan stel je DNS in op 8.8.8.8

donderdag 11 februari 2016 15:45

Acties:

0 Henk 'm!

ericvanb

Topicstarter

YES!!!!
DNS in het bestand dhcpd.conf aangepast en nu geraak ik online met de pc!!!

Nu proberen de firewall te tunen.Bedankt voor de hulp alvast en hoop dat ik er uitgeraak!

mvg,
eric

donderdag 11 februari 2016 15:49

Acties:

0 Henk 'm!

xleeuwx

developer Tweakers Elect

Misschien handiger geweest, er is namelijk een routerOS gebaseerd op CentOS:

https://www.clearos.com/c...tware/clearos-6-community

Werkt voor mij zowel op baremetal als op VM erg goed, heb ondertussen al meerdere installaties draaien

[ Voor 26% gewijzigd door xleeuwx op 11-02-2016 15:49 ]

vrijdag 12 februari 2016 08:11

Acties:

0 Henk 'm!

_eXistenZ_

En gebruik alsjeblieft code-blokken in je antwoorden zoals in het begin is gevraagd, dit is onleesbaar.

There is no replacement for displacement!

vrijdag 12 februari 2016 08:50

Acties:

0 Henk 'm!

H!GHGuY

Try and take over the world...

Mag ik even betweterig doen?

Waarom gebruik je niet gewoon firewalld? Heeft support voor masquerading, port forwarding en zal het nodige doen om het gewoon op een eenvoudige manier te laten werken. Met je huidig niveau van kennis over iptables lijkt het me het meest waarschijnlijk dat je jezelf in de voet schiet en iets insecure neerzet.

ASSUME makes an ASS out of U and ME

vrijdag 12 februari 2016 08:54

Acties:

0 Henk 'm!

ericvanb

Topicstarter

H!GHGuY schreef op vrijdag 12 februari 2016 @ 08:50:
Mag ik even betweterig doen?

Waarom gebruik je niet gewoon firewalld? Heeft support voor masquerading, port forwarding en zal het nodige doen om het gewoon op een eenvoudige manier te laten werken. Met je huidig niveau van kennis over iptables lijkt het me het meest waarschijnlijk dat je jezelf in de voet schiet en iets insecure neerzet.

U bent niet betweterig!
Op dit moment ben ik aan het bijleren. (Zowel iptables als firewalld.)
Googlen, firewalls for dummies, ea bronnen aan het raadplegen.
Echter is het moeilijk voor mij om te weten of de opzet volledig secure is. Een gaatje in de condoom kan zware gevolgen hebben.

mvg,
eric

vrijdag 12 februari 2016 09:14

Acties:

0 Henk 'm!

H!GHGuY

Try and take over the world...

ericvanb schreef op vrijdag 12 februari 2016 @ 08:54:
[...]

U bent niet betweterig!
Op dit moment ben ik aan het bijleren. (Zowel iptables als firewalld.)
Googlen, firewalls for dummies, ea bronnen aan het raadplegen.
Echter is het moeilijk voor mij om te weten of de opzet volledig secure is. Een gaatje in de condoom kan zware gevolgen hebben.

mvg,
eric

Firewalld stuurt onderliggend ook maar gewoon iptables aan. Eens je je regels hebt opgezet kun je met een "iptables -v -n" gewoon kijken wat er is opgezet.

Daarnaast: als je spreekt over zware gevolgen icm het huidig niveau van kennis zou ik toch aanraden hiervoor een externe partij aan te spreken. Dat kost in alle geval minder dan wat die 'zware gevolgen' ook mogen zijn.

ASSUME makes an ASS out of U and ME

zondag 14 februari 2016 12:51

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ik sluit me aan bij hij advies voor firewalld of een andere management-tool. Die zijn juist gemaakt voor mensen als jou. Vertrouw op de tool om de kleine gaatjes dicht te houden zodat je jezelf op de grote lijn kan richten.
Een handgeschreven firewall kan veiliger en beter zijn dan wat zo'n tool doet maar dan moet je wel heel goed weten wat je doet.
Trouwens, ik weet heel goed wat ik doe en ik maak ook gebruik van dit soort tools, ik kan het met de hand doen maar dat is me te veel werk en te foutgevoelig.

Terzijde:
Het helpt natuurlijk niet dat je het probeert te leren op een productie-server. Het is beter om te oefenen op een oude PC of een paar VMs. Waarom je een PC achter de server wil verstoppen wil ik niet eens weten. Het klinkt alsof je iets doet dat niet de bedoeling is. Denk even goed na of je dat wel op het productienetwerk van je baas wil doen.

This post is warranted for the full amount you paid me for it.

donderdag 18 februari 2016 08:55

Acties:

0 Henk 'm!

ericvanb

Topicstarter

CAPSLOCK2000 schreef op zondag 14 februari 2016 @ 12:51:
Ik sluit me aan bij hij advies voor firewalld of een andere management-tool. Die zijn juist gemaakt voor mensen als jou. Vertrouw op de tool om de kleine gaatjes dicht te houden zodat je jezelf op de grote lijn kan richten.
Een handgeschreven firewall kan veiliger en beter zijn dan wat zo'n tool doet maar dan moet je wel heel goed weten wat je doet.
Trouwens, ik weet heel goed wat ik doe en ik maak ook gebruik van dit soort tools, ik kan het met de hand doen maar dat is me te veel werk en te foutgevoelig.

Terzijde:
Het helpt natuurlijk niet dat je het probeert te leren op een productie-server. Het is beter om te oefenen op een oude PC of een paar VMs. Waarom je een PC achter de server wil verstoppen wil ik niet eens weten. Het klinkt alsof je iets doet dat niet de bedoeling is. Denk even goed na of je dat wel op het productienetwerk van je baas wil doen.

Beankt aan allen voor de nuttige tips.
Ik ben inderdaad aan het leren op een oude pc en niet rechtstreeks in de productie-omgeving.
Al wat ik doe is legaal en onder het waakzaam oog van de baas. Al weet die niet echt wat er aan het gebeuren is, maar dat is een ander verhaal.
Ik ben op twee paarden aan het gokken: het iptables-paard en de firewalld-hengst. Zien wie er wint!
Firewalld lijkt inderdaad wel the way to go.
Zijn er tools die het 'slot' van een firewall ken checken?

mvg,
eric

donderdag 18 februari 2016 09:23

Acties:

Beste antwoord ✓
0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Hoe bedoel je, het 'slot checken'? Je kan met een ander systeem via nmap of andere poortscanner kijken wat er open staat en met telnet e.d. kan je kijken of je er verbinding op kan maken.

Commandline FTW | Tweakt met mate

Vraag

Beste antwoord (via CAPSLOCK2000 op 18-02-2016 10:21)

Alle reacties