Beste firewallscript in deze setup - Linux en overige clients

zaterdag 14 juni 2003 14:25

Acties:

winter

Topicstarter

Ik heb al een tijd zitten zoeken op GoT maar kon niet echt een topic hierover vinden waar ik iets aan had.

Nou is me netwerk setup zo:
Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/0103/Netwerkschema.JPG

Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/0103/Netwerkschema.JPG

Heb dus:
-3 computers met internet ips
-3 computers met 192.168.0.x IP.
-Slackware 9.0 server (was slackware8 zoals te zien is in de pic, is nu 9.)

Nou wil ik dat deze met elkaar kunnen communiceren, dus de firewall moet dit goed kunnen ondersteunen.
Daarnaast wil ik weer experimenteren om alle pcs via de server te laten gaan en evt met dhcprelay dhcp te forwarde naar 2 andere pcs die nu rechtsstreeks op de hub zitten. Ik weetn iet of je dan ook een firewall rule kunt toepassen icm dhcrelay. Ik heb nu 4 netwerkkaarten erin.

op http://www.linuxguruz.com/iptables/ staan een zooi scripts en als je op google zoekt kom je er nog meer tegen. Maar ik zie door de bomen het bos niet meer. Misschien dat er hier mensen zijn die me bepaalde scripts kunnen aanraden in mijn situatie?

[ Voor 3% gewijzigd door robbertb op 14-06-2003 14:25 ]

zaterdag 14 juni 2003 14:31

Acties:

BoZ_

Ik denk dat je beter de syntax en het systeem van iptables kan leren. Als je dat begrijpt kan je zelf een script maken of een ander script voor jezelf aanpassen.

more info: http://www.netfilter.org/

zaterdag 14 juni 2003 14:33

Acties:

Verwijderd

Ik kan je een ding aanraden en dat is zelf schrijven. Daar leer je het meest van is denk ik ook het beste, omdat je netwerk config wat exotischer is dan bij anderen.

Eventueel kun je hier terug komen als je er met specifieke problemen niet uit komt, want dit is een script request en die gaat denk ik vrij snel dicht.

Ik zie dat je nu toch met iptables aan de slag wil en dan raad ik je de volgende artikelen aan.
deel 1
deel 2

Deze artikelen leggen duidelijk de basis uit van statefull filtering. Dus geen kant en klaar script voor jouw netwerk config, maar wel handig als je zelf een script gaat schrijven.

[ Voor 54% gewijzigd door Verwijderd op 14-06-2003 14:43 ]

zaterdag 14 juni 2003 14:49

Acties:

Verwijderd

Een tijdje geleden stond ik voor eenzelfde dillema. Een van de mooiste programmaatjes die ik tegenkwam om je hierbij te helpen, is 'mason'. Een lerend script die een firewall voor je kan bouwen. Voorzover ik weet werkt het zowel met Ipchains als Iptables.

zaterdag 14 juni 2003 15:48

Acties:

Verwijderd

Ik gebruik turtlefirewall icm met webmin. Werkt echt ideaal.

zaterdag 14 juni 2003 15:51

Acties:

TrailBlazer

Karnemelk FTW

Wat ik je aanraad. Alles achter een firewall te zetten en de twee ips die je over hebt statisch door te mappen. Wel het veiligst maar een firewall te configgen En alles in een subnet

zaterdag 14 juni 2003 16:29

Acties:

robbertb

winter

Topicstarter

Verwijderd schreef op 14 June 2003 @ 14:33:
Ik kan je een ding aanraden en dat is zelf schrijven. Daar leer je het meest van is denk ik ook het beste, omdat je netwerk config wat exotischer is dan bij anderen.

Eventueel kun je hier terug komen als je er met specifieke problemen niet uit komt, want dit is een script request en die gaat denk ik vrij snel dicht.

Ik zie dat je nu toch met iptables aan de slag wil en dan raad ik je de volgende artikelen aan.
deel 1
deel 2

Deze artikelen leggen duidelijk de basis uit van statefull filtering. Dus geen kant en klaar script voor jouw netwerk config, maar wel handig als je zelf een script gaat schrijven.

Ahh dat ziet er zeer leerzaam uit ben hem aan het doornemen

Maak em ook liefste zelf dan weet ik ook wat hij nou precies doet en waarom.

zaterdag 14 juni 2003 17:23

Acties:

Verwijderd

Dit is een soort basis -setup maar met 3 netwerken. Houdt er rekening mee dat je op deze manier je Slackware bak niet je 2 aparte internet bakjes filtert. Deze staan dus 'wide open' en/of zijn op zichzelf aangewezen.

Basically:

1) NAT instellen op Slackware bak. Heb je denk ik al gedaan.
2) al het internetverkeer dat naar je server wil connecten blocken by default )policy drop)
3) kijken wat je door wilt laten in combinatie met 4
4) ports forwarden voor bijv. ICQ (deze ports moet je ook doorlaten natuurlijk) en naar bijv. de webservewr van de Slackware bak.

Ik zou je willen aanraden het volgende:

1) Zet die Slackware bak overal voor. Zorg dat-ie 24/7 is. Houdt 'm secure.
2) Stel de stappen 1 t/m 4 volgens de howto's ed. in op de Slackware bak.
3) Het eigelijke, belangrijke punt: gebruik voor de externe ip's proxy_arp (zie google hiervoor) of bridging (ook google).

Op deze manier maak je het beheer makkelijker. Het nadeel is dat als de Slackware bak plat ligt dat dan alles plat ligt. Dat moet je dus voorkomen

maar het is wel zo dat je 1 firewall hebt die je hele netwerk OK houdt.

zaterdag 14 juni 2003 23:18

Acties:

Verwijderd

/me denkt dat je setup niet gaat werken, hoe goed je iptablesscript ook is. Je hebt namelijk---zoals je zelf ook al aangeeft---3 computers met hetzelfde IP-adres op het netwerk zitten! Ik zou je slackware eth0 direct op de modem aansluiten, en dan eth1 op je hub aansluiten. Je PC's allemaal een intern IP adres geven (verschillende dus he).

////Edit: of krijg je bij @home soms meerdere IP-adressen ter beschikking gesteld?

[ Voor 14% gewijzigd door Verwijderd op 14-06-2003 23:30 ]

zondag 15 juni 2003 00:15

Acties:

rvm

Verwijderd schreef op 14 juni 2003 @ 23:18:
////Edit: of krijg je bij @home soms meerdere IP-adressen ter beschikking gesteld?

Vroeger was dat inderdaad mogelijk, nu niet meer, maar de abonnees die meerdere IPnrs hadden mochten deze houden.

zondag 15 juni 2003 00:22

Acties:

Kippenijzer

McFallafel, nu met paardevlees

Wat je kunt doen is de virtual ethernet device aanzetten in je kernel en dan meerdere ip's aan je eth0 koppelen (a,b&c dus allemaal door de server laten nemen) en dan in je iptables bijvoorbeeld ip1 natten voor machine 1, ip2 voor machine2 en de rest laten natten als het 3e ip

zondag 15 juni 2003 09:07

Acties:

Wilke

rvm schreef op 15 June 2003 @ 00:15:
Vroeger was dat inderdaad mogelijk, nu niet meer, maar de abonnees die meerdere IPnrs hadden mochten deze houden.

En dat heeft hij ook, stond al 'es in een andere thread. Dus wat dat betreft kan het prima werken.

woensdag 18 juni 2003 02:32

Acties:

robbertb

winter

Topicstarter

Okeej, ik heb nu het een en ander draaiende, gebasseerd op die site van balou, dus een Statefull iptables firewall.. Maar nou zegt scan.sygate.com dat ik me poorten beter BLOCKED kan hebben ipv CLOSED. want al mijn poorten zijn nu CLOSED, door de TCP-reset flag denk ik zo. Volgens die site kan je dat beter meesturen maar volgens scan.sygate.com weer juist niet:?

[ Voor 6% gewijzigd door robbertb op 18-06-2003 02:35 ]

woensdag 18 juni 2003 03:33

Acties:

lonkhuijzen

100% ADH

Closed geeft aan dat je een bepaalde service niet hebt draaien.
Blocked geeft aan dat je gewoon niet bestaat voor die ander.

Dus m.i. is blocked beter.

Ik ben vanavond trouwens ook bezig geweest met een firewall en blocked ipv closed.
Mischien heb je er wat aan, NAT hoef je alleen maar te uncommenten.

code:

#!/bin/sh
#
# Full stealth Firewall

# location of iptables program
#iptables="iptables"

# static ip on internet
INET_IP="aaa.xxx.yyy.zzz"

# interface for internet
INET_INTERFACE="eth0"


echo "iptables firewall/masquerading script started..."

# flush all rules in filter/NAT table
iptables --flush
iptables --table nat --flush

# Masquerading / NAT
#iptables --append POSTROUTING --table nat --out-interface $INET_INTERFACE --jump SNAT --to $INET_IP

# Allow any existing connections or anything related
iptables --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT 

# Allow new connections only from our network (the ! means anything BUT)
iptables --append INPUT --match state --state NEW --in-interface ! $INET_INTERFACE --jump ACCEPT 

# Deny everything else
iptables --policy INPUT DROP

iptables --append FORWARD --in-interface $INET_INTERFACE --out-interface $INET_INTERFACE --jump REJECT


#
# ICMP rules
#

# Echo reply
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT

# Errors
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT

# Redirection
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT 

# Echo request
#iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

# Time to Live (TTL)
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT 


#
#Open Ports
#


# Direct Connect 
iptables --append INPUT --protocol tcp --dport 9176 --jump ACCEPT
iptables --append INPUT --protocol udp --dport 9176 --jump ACCEPT

# SSH 
iptables --append INPUT --protocol tcp --dport xxxx --jump ACCEPT


#
# Block obviously spoofed ip's
#

iptables -A INPUT -i $INET_INTERFACE -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $INET_INTERFACE -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $INET_INTERFACE -s 172.16.0.0/12 -j DROP


echo "done."

Met dank trouwens aan een medetweakers wiens naam ik in al de iptables threads al niet meer kan terugvinden

[ Voor 3% gewijzigd door lonkhuijzen op 18-06-2003 03:35 ]

5,85kWp 15x Sunpower Max3 390Wp OZO | live PV output | LabelA@‘78

woensdag 18 juni 2003 17:58

Acties:

robbertb

winter

Topicstarter

Ik laat eerst maar ff op CLOSED staan denk ik.. Volgens mij maakt het niet zoveel uit, wat de gebruiker maar het fijnste vindt toch? Ik wil eerst ff alles weer aan de praat hebben

Ik probeer nu smbdnbfw en nmbdnbfw (http://sourceforge.net/projects/nbfw/) aan de praat te krijgen. Maar deze is gemaakt voor samba-2.2.1a-nbfw-0.4.0
en ik heb Version 2.2.8. Ik verwacht hier problemen eigenlijk

Iemand een idee of ik hiervoor iets moet aanpassen van de samba patch? of dat er ergens anders een nieuwe versie staat?

[ Voor 16% gewijzigd door robbertb op 18-06-2003 17:59 ]

woensdag 18 juni 2003 18:07

Acties:

SchizoDuckie

Kwaak

ik gebruik zelf PMfirewall, dit is een soort van wizard script waarmee je heel simpel binnen 2 minuten in kan stellen wat je allemaal wil doorlaten, wat niet, welke ranges er toegang hebben voor welke poort en welke niet, etc.

Is misschien wel wat voor jou, probeer het eens

Stop uploading passwords to Github!

donderdag 19 juni 2003 11:50

Acties:

Verwijderd

robbertb schreef op 18 June 2003 @ 02:32:
Okeej, ik heb nu het een en ander draaiende, gebasseerd op die site van balou, dus een Statefull iptables firewall.. Maar nou zegt scan.sygate.com dat ik me poorten beter BLOCKED kan hebben ipv CLOSED. want al mijn poorten zijn nu CLOSED, door de TCP-reset flag denk ik zo. Volgens die site kan je dat beter meesturen maar volgens scan.sygate.com weer juist niet:?

ik heb een aantal dagen geleden over exact hetzelfde een topic gestart. in dat topic staat tevens de oplossing vermeld

[rml][ iptables] port status op 'blocked' ipv. 'closed'[/rml]

het firewall script dat ik op mijn firewall / server gebruik: http://members.chello.nl/e.ruiten1/iptables_d_install

donderdag 19 juni 2003 14:26

Acties:

robbertb

winter

Topicstarter

Verwijderd schreef op 19 juni 2003 @ 11:50:
[...]
ik heb een aantal dagen geleden over exact hetzelfde een topic gestart. in dat topic staat tevens de oplossing vermeld

[rml][ iptables] port status op 'blocked' ipv. 'closed'[/rml]

het firewall script dat ik op mijn firewall / server gebruik: http://members.chello.nl/e.ruiten1/iptables_d_install

Hmm interessant, vanavond maar ff verder je script doorspitten. Ik heb nu een default DROP policy.

Maar ik heb dus 3 internet IP's (public) en vraag me af of ik dit kan doen:

dhcpcd -h CC1xxxx-a eth0
dhcpcd -h CC1xxxx-b eth0
dhcpcd -h CC1xxxx-c eth0
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to [INTERNET IP 1]
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to [INTERNET IP 2]
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to [INTERNET IP 3]
eth3=static=lan=192.168.0.1

Alleen moet er dan nog een iprange bij op een of andere manier waarnaar geforwarded moet worden, voor eth0 naar 192.168.0.2, voor eth1 naar 192.168.0.3 en voor eth2 naar de overige ips in de 192.168.0.x range