Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gute Firewall für debian 6

Frage Linux Debian

Mitglied: chemikus

chemikus (Level 1) - Jetzt verbinden

24.07.2013, aktualisiert 10:07 Uhr, 1863 Aufrufe, 18 Kommentare, 8 Danke

Schönen guten Morgen liebe Admin-Gemeinde,

ich bin ein absoluter debian-noob und soll nun für einen Kollegen einen Debian-Server "absichern" für den Webgebrauch.
Auf dem System läuft bisher nginx, mysql & PHP.

Nach langer Suche im Internet stieß ich auf den Hiweis chkrootkit und rkhunter zu installieren, was ich bereits getan habe.

Wie von Windows-Systemen bekannt, macht es sicherlich Sinn auch eine Firewall zu installieren. Bei der Suche nach einer Firewall für Debian stieß ich jedoch nur auf weitere Rätsel, weswegen ich nun hier gelandet bin. Und ich denke mal Firewall-eintäge von 2005 oder älter machen wenig Sinn ;)

Es würde mich interessieren, welche Firewall sinn macht, wie ich die installiere und vor allem wie ich die konfiguriere.

mit freundliche Grüßen
chemikus
Mitglied: Hitman4021
24.07.2013 um 10:14 Uhr
Hallo,

wie wäre es den mit den guten alten ipTables?

Die sind standardmäßig installiert und du musst für die Firewall Regeln nur ein Script schreiben.

Gruß
Bitte warten ..
Mitglied: SlainteMhath
24.07.2013 um 10:51 Uhr
Moin,

01.
iptables -F 
02.
iptables -P INPUT DROP 
03.
iptables -P FORWARD DROP 
04.
iptables -P OUTPUT ACCEPT 
05.
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
06.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
07.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
08.
iptables-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
09.
iptables-save
Mehr brauchts nicht

lg,
Slainte
Bitte warten ..
Mitglied: Lochkartenstanzer
24.07.2013, aktualisiert um 10:55 Uhr
Moin,

Unter debian macht man das üblicherweise mit selbstgeschriebenen IP-Tables-Regeln, weil man damit die größten Freiheiten hat.

Als Klickibunti-Lösung kann man sich mit fwbuilder behelfen, das auch im repository sein sollte.

lks

Nachtrag: fwbuilder muß nicht auf dem Zielsystem instaliert sein, sondern nur auf der "Managementstation".
Bitte warten ..
Mitglied: chemikus
24.07.2013 um 11:04 Uhr
Zitat von SlainteMhath:
Moin,

01.
> iptables -F 
02.
> iptables -P INPUT DROP 
03.
> iptables -P FORWARD DROP 
04.
> iptables -P OUTPUT ACCEPT 
05.
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
06.
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
07.
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
08.
> iptables-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
09.
> iptables-save 
10.
> 
Mehr brauchts nicht

lg,
Slainte

k, also gebe ich einfach vor welche ports er erlauben soll...
danke dir für die ausführliche IPtables-anleitung.

Sollte ich da noch etwas beachten?
Bitte warten ..
Mitglied: Lochkartenstanzer
24.07.2013 um 11:04 Uhr
Zitat von SlainteMhath:
Mehr brauchts nicht

Sofern man nur ssh, http und https auf den Standard ports macht. Wenn man darüber auch Mail abwicklet, muß man natürlich die passenden Ports "zuschalten" (nginx deutet darauf hin).

lks


PS an TO: Bedenke aber, daß SQL und PHP genügend eigene Fallstricke haben, vor denen Dich die Firewall nicht schützt!
Bitte warten ..
Mitglied: SlainteMhath
24.07.2013 um 11:15 Uhr
Zitat von chemikus:
k, also gebe ich einfach vor welche ports er erlauben soll...
Das ist im engeren Sinne die Aufgabe einer Firewall, ja

Sollte ich da noch etwas beachten?
Patchen, Patchen, Patchen! System immer aktuelle halten!
Und eigene PHP Scripte sauber halten usw. wie lochi shcon anmerkte.
Bitte warten ..
Mitglied: chemikus
24.07.2013 um 12:49 Uhr
Hi,
ein letztes mal, noch, bevor ich Frage schließe...

sehe ich es richtig, das in den IPtables das dann so drinsteht, das alle ports nach außen offen sind, jedoch nur die ports ssh,https und http offen sind und der Rest geschlossen?

habe einen send-only-email-service (https://library.linode.com/email/exim/send-only-mta-debian-6-squeeze) aufgesetzt. der müsste dann ja folglich problemlos funktionieren, stimmt's?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: SlainteMhath
24.07.2013 um 12:58 Uhr
Zitat von chemikus:
sehe ich es richtig, das in den IPtables das dann so drinsteht, das alle ports nach außen offen sind, jedoch nur die ports
ssh,https und http offen sind und der Rest geschlossen?
Richtig. Zusätzlich sind alle eingehenden Verbindungen zugelassen die zu ausgehenden gehören ("RELATED,ESTABLISHED").

habe einen send-only-email-service (https://library.linode.com/email/exim/send-only-mta-debian-6-squeeze) aufgesetzt. der
müsste dann ja folglich problemlos funktionieren, stimmt's?
Stimmt.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.07.2013, aktualisiert um 13:01 Uhr
Zitat von chemikus:
Hi,
ein letztes mal, noch, bevor ich Frage schließe...
sehe ich es richtig, das in den IPtables das dann so drinsteht, das alle ports nach außen offen sind, jedoch nur die ports
ssh,https und http offen sind und der Rest geschlossen?

zur Erläuterung:

> iptables -P OUTPUT ACCEPT

sagt aus, daß die default policy alle ausgehenden Pakete erlaubt, damit auch Deine SMTP-verbindungen.

Default policy ist ansonsten drop, bis auf die mit iptables freigeschalteten ports. Die Ports sind nicht geschlossen, sondern Pakete an diese Ports werden entsorgt. Es können auslo durchaus Dienste auf diesen Ports laufen (was nicht gut ist), aber es kommen keine Pakete durch.

> habe einen send-only-email-service (https://library.linode.com/email/exim/send-only-mta-debian-6-squeeze) aufgesetzt. der
müsste dann ja folglich problemlos funktionieren, stimmt's?

Um es mit Radio Eriwan zu sagen: Im Prinzip ja (wenn Du nicht geschludert hast).


lks
Bitte warten ..
Der Kommentar von Rudbert wurde vom Moderator Frank am 24.07.13 ausgeblendet!
Mitglied: chemikus
25.07.2013, aktualisiert um 15:01 Uhr
Zitat von SlainteMhath:

01.
> iptables -F 
02.
> iptables -P INPUT DROP 
03.
> iptables -P FORWARD DROP 
04.
> iptables -P OUTPUT ACCEPT 
05.
> 

sehe ich richtig, das dieses INPUT DROP sämtliche eingehenden Verbindungen untersagt? Habe nämlcih jetzt 2x mir den server zerlegt, sodass ich keinerlei zugriff mehr hatte.

hatte nun daran gedacht, erst

01.
iptables -A INPUT -p tcp --dport 443 -j ACCEPT  
02.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT  
03.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
einzutippen und dann die ganzen teile von oben einzubauen. Aber bevor ich nun ein drittes mal meinen Server zerlege wollte ich kurz Rücksprache halten, was ihr davon haltet.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Lochkartenstanzer
25.07.2013 um 15:10 Uhr
Zitat von chemikus:
einzutippen und dann die ganzen teile von oben einzubauen. Aber bevor ich nun ein drittes mal meinen Server zerlege wollte ich
kurz Rücksprache halten, was ihr davon haltet.

Sofern Du nicht direkt an der Konsole sitzt, schreibst Du alle diese Kommandos in eine Datei, die als erste zeile ein
#!/bin/bash 


enthält und führst diese entweder direkt aus, nachdem Du das schellskript ausführbar gemacht hast oder mit dem Shell-Kommando source.

Ansonsten sägst Du Dir den Ast ab, auf dem Du sitzt.

lks
Bitte warten ..
Mitglied: SlainteMhath
25.07.2013, aktualisiert um 15:15 Uhr
sehe ich richtig, das dieses INPUT DROP sämtliche eingehenden Verbindungen untersagt?
Ja richtig. Das ganze ist auch nicht "zum eintuppen" gedacht, sondern um's als Script zb. beim start des Netzwerkes laufen zu lassen.

hatte nun daran gedacht, erst
[...]
einzutippen und dann die ganzen teile von oben einzubauen.

ja das geht. Sollte in dieser Reihenfolge funktionieren.

01.
iptables -F 
02.
iptables -P INPUT ACCEPT 
03.
iptables -P OUTPUT ACCEPT 
04.
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
05.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
06.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
07.
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
08.
iptables -P INPUT DROP 
09.
iptables -P FORWARD DROP
/EDITH:
Und ein Pro Tipp für die Zukunft: Nicht einfach Commandos in die Shell tippen/kopieren von denen man nicht genau weis was sie tun
Bitte warten ..
Mitglied: chemikus
25.07.2013 um 15:14 Uhr
:D
vielen lieben dank. Hatte schon echt überlegt, ob ich total bekloppt bin :D

mit dem script beim starten des netzwekres. Kann das jemand näher erläutern, oder mir ein link zu einem tut schicken was es damit auf sich hat, wie ich das einrichte etc.?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Lochkartenstanzer
25.07.2013, aktualisiert um 17:21 Uhr
Zitat von chemikus:
:D
vielen lieben dank. Hatte schon echt überlegt, ob ich total bekloppt bin :D

mit dem script beim starten des netzwekres. Kann das jemand näher erläutern, oder mir ein link zu einem tut schicken was
es damit auf sich hat, wie ich das einrichte etc.?

Indem Du z.B. in /etc/network/interfaces ein pre-up oder post-up mit den passenden Parametern einträgst


lks

Nachtrag: Je nachdem, was Du in den "up"-Skripten treibst, mußt Du ggf in /etc/network/interfaces noch pre-down oder post-down hinzufügen.

edit: typo & Style.
Bitte warten ..
Mitglied: SlainteMhath
25.07.2013, aktualisiert um 15:20 Uhr
mit dem script beim starten des netzwekres ...
Wenn die FW so tut wie sie soll:
01.
iptables-save > /etc/ipt-rules
Dann die Datei "/etc/network/interfaces" editieren, und Zeile
01.
post-up /sbin/iptables-restore < /etc/ipt-rules
bei dem entsprechenden Interface (idR eth0) hinzufügen

/EDITH: mist zu langsam.. dafür ausführlicher
Bitte warten ..
Mitglied: Lars1973
28.07.2013 um 11:06 Uhr
Neben den bereits genannten Tools könntest Du Dir noch fail2ban ansehen - hält zuverlässig Scriptkiddies fern.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.07.2013 um 13:07 Uhr
Zitat von Lars1973:
Neben den bereits genannten Tools könntest Du Dir noch fail2ban ansehen - hält zuverlässig Scriptkiddies fern.

Birgt aber auch Ansatzpunkte für DOS-Attacken.

lks
Bitte warten ..
Mitglied: Alchimedes
29.07.2013 um 16:47 Uhr
Hallo ,


deshalb sollte man dann entsprechend fail2ban konfigurieren, den ohne hat man ohne Ende ssh scans aus aller Welt.

hier nur mal der taegliche Rotz.


2013-07-29 09:18:51,773 fail2ban.actions: WARNING [ssh] Ban 69.42.67.4
2013-07-29 09:28:51,850 fail2ban.actions: WARNING [ssh] Unban 69.42.67.4
2013-07-29 10:14:35,754 fail2ban.actions: WARNING [ssh] Ban 199.19.106.225
2013-07-29 10:24:36,727 fail2ban.actions: WARNING [ssh] Unban 199.19.106.225
2013-07-29 10:48:19,609 fail2ban.actions: WARNING [ssh] Ban 64.253.208.121
2013-07-29 10:58:20,608 fail2ban.actions: WARNING [ssh] Unban 64.253.208.121
2013-07-29 12:11:58,267 fail2ban.actions: WARNING [ssh] Ban 176.102.192.17
2013-07-29 12:21:04,302 fail2ban.actions: WARNING [ssh] Ban 219.235.126.174
2013-07-29 12:21:58,328 fail2ban.actions: WARNING [ssh] Unban 176.102.192.17
2013-07-29 12:31:04,318 fail2ban.actions: WARNING [ssh] Unban 219.235.126.174
2013-07-29 13:30:55,040 fail2ban.actions: WARNING [ssh] Ban 54.250.140.192
2013-07-29 13:40:56,035 fail2ban.actions: WARNING [ssh] Unban 54.250.140.192

und das ist noch harmlos am WE sind es bis zu mehrere Hundert Eintraege.

Hilfreich sonst:

In der sshd.conf entsprechend den Port aendern.
Ausserdem sollte man undbedingt den root Zugriff via ssh unterbinden.

Gruss
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Debian
Debian 8.6 Absichern? (11)

Frage von Motte990 zum Thema Debian ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...