From: ErkaN (Selamsana@uni.de)
Date: Mon 28 May 2001 - 14:08:50 EEST
Selam..
Esin Koçak demiski :
> Biz Suse 7,0 üzerine firewall ve proxy server kurmak istiyoruz. İkisini de
aynı makineye kuralım dedik. Birkaç sorunumuz var.
> 1.. Bizim öncelikle yapmak istediğimiz kullanıcılarımız explorer veya
netscape ayarı yapmadan proxy'imizin çalışması. Bunun için firewall'da
redirect komutunu kullandık.Fakat hata veriyor. Kernel'iniz bu iş için uygun
olmayabilir diyor.
> 2.. Suse 7,0 'ın firewall' unda gelen mailleri mesela 192.168.1.125
ip'sine aktarmak istiyoruz. ipchains komutlarından yapabiliyoruz. Ama
/etc/rc.config.d/firewall dosyasındaki ayarlarda bunu yapamadık.
> Yardımlarınız için teşekkürler.
Almanca bilen bir arkadasiniz varsa asagidaki örnegi kendinize örnek olarak
alabilirsiniz.....
ps: kusura bakmayin, türkce olarak cevirmeye zaten türkce bilgim yetmez..
erkaN
-- The linux philosophy is laugh in the face of danger.L. Torvalds
Firewall für Zuhause # Diese Firewall besitzt nicht den Anspruch perfekt zu sein, aber # als Einstieg sicher gut. Noch etwas verbessert neu 10.05.2001 # Diese Firewall passt nur auf Kernel 2.2.x, Also nicht auf SUSE7.1 mit # Kernel 2.4.x, da wird nähmlich ip-tables verwendet. # #Das ist eine Firewall fuer STANDALONE RECHNER, ohne Netzwerk mit #Loopnetz "lo" (ist Standardmaessig in Linux/Unix) # # # #Was nützt ne Firewall wo noch Java JavaScript Cookies und AktiveX #aktive ist????? # # # # #Ein Firewall-Test auf: # #https://check.lfd.niedersachsen.de/Selbsttest/service/selbsttest.php # # #Die SuSE Firewall 7.0 #--------------------- #Die Orginal-Suse Firewall wird über Yast in /etc/rc.config eingestellt, #und in /sbin/init.d/firewall ausgewertet und gesetzt. Die Suse Firewall #kann man wieder herstellen mit yast->install->konfig ändern->sec->firewall #und sie einfach noch mal installieren. Alles links und Dateien werden wieder #gesetzt. Suse Firewall schaltet man z.b. für Standalone Rechner so ein. #Gemäss /usr/share/doc/packages/firewall/EXAMPLES Szenairo1: # #in der Datei /etc/ppp/ip-up muss man selber eine Linie einfügen: # /sbin/SuSEfirewall #und dann in Yast->Konfigurations Datei # #FW_DEV_WORLD auf yes #FW_STOP_KEEP_ROUTING_STATE auf yes (bei ISDN-Anschluss) #START-FW auf yes # #Fertig. Neustart des Rechners, die Fehlermeldung beim letzten Runlevel ist #kein Problem nach dem Start. Die Meldung bezieht sich auf Netzwerkkarten. #Da keine aktive eth0 Karte entdeckt wird kommt diese Meldung. # #Als User nicht als root einwählen, dabei wird die Firewall von Suse gestartet #in ip-up. Dann in einem xterm/bash-Fenster su als root anmelden und das #Kommando /sbin/ipchains -L geben, dann sollte eine Liste kommen. Alles ok. #exit um sich als root wieder abmelden. # # # # # #Die Firewall für Standalone Rechner unten, kleiner Vergleich mit SUSE7.0FW #-------------------------------------------------------------------------- #Die SuSE Firewall ist gut, kein Port ist offen, ein Ping kommt noch durch. #Ich hab daraufhin meine Firewall, siehe unten, eine Linie dazugefügt, weil #man den Rechner nach tests im Vergleich zur SuseFW , noch sehen #konnte auf div. Ports, waren sonst aber auch geschützt. #Jetzt ist Sie aber genau so gut, wenn nicht besser, da hier auch das Ping #gesperrt ist. In der unten aufegührten Firewall sieht man, was gemacht wird. #In der SuSE Firewall, ist es vielleicht etwas kompliziert, die Rekursive #Wirkung der Scripts zu durchschauen. Meine Firewall kann als "stealth" #bezeichnet werden. Aktive FTP ist nicht möglich. Es wird der #ftp-passive-mode unterstützt, was auch genügt für einen Download. # #Fuer den Autostart der privaten Firewall bei Rechnerstart: #/sbin/init.d/firewall <--Dahin gehoert diese Datei bei SUSE #/etc/rc.d/firewall <--Ich glaub bei RedHat hierher # #Wer den Rechner jetzt neu startet (in Suse7.0), sieht das meine Firewall #viermal gestartet wird beim Boot, das ist nicht schädlich, wer das #verschönern will, sieht in /sbin/init.d/rc2.d und rc3.d viermal etwas mit #@Firewall (das sind vier links nach /sbin/int.d/firewall), davon kann man #die ersten drei löschen und belässt den letzten Firewall_final. #Werden Aenderungen gemacht an der Firewall kann man diese so aktivieren #in einer Shell: /sbin/init.d/firewall -reload # #man kann diesen Text auch unter einem andern Namen unter /sbin/init.d #resp. /etc/rd.c speichern, und so ganz einfach in dem boot.local im #entsprechen Verzeichniss starten. Und fasst die Datei von Suse nicht an. # #Kernel Einstellungen #-------------------- # #Der Kernel stimmt schon bei Suse7.0 und Suse7.1, und ich glaub auch #bei Suse6.1, einfach den Firewall-Test von oben machen. # #Das benoetigt einen Kernel 2.2.x und die Aktivierung der Firewall Elementen #in diesem Kernel. Es wird ipchains als Konfiguration verwendet, #neuer Standard! #Folgende Elemente muessen auf "Y" gestellt werden. #
# ----------------------------->>>> Kernelde yapmaniz gereken sunlar ( Y olarak ) #-Packet socket #-Routing messages #-Network firewalls #-Socket filtering #-Unix domain sockets #-TCP/IP networking #-IP:advanced router #-IP:policy routing #-IP:equal cost multipath #-IP:use TOS value as routing key #-IP:verbose Route monitorin #-IP:fast network adresstranslation # -Kernel/User network link driver # -Netlink device emulation # -IP:multicasting # -IP:large routing tables #-IP:firewalling #-IP:firewall packet netlink device #-IP:always defragment (required for masquerading) #-IP:use FWMARK value as routing key #-IP:transparent proxing #-IP:masquerading #-IP:ICMP masquerading #-IP:masquerading special modules support #-IP:optimize as router not host # #Als Module--------------------------------------->>>>> Kernelde M olarak yapmaniz gerekenler... #-IP:ipautofw masquerade support #-IP:ipportfw masquerade support #-IP:ipmarkfw masquerade support # #Ausgeschaltet ist --------------------------->>>> Kernelde N olarak yapmaniz gerekenler
#IP:kernel level autoconfiguration # # #Weiter Info's zu Firewall Konfiguration findet man auf: # # #Server Handbuch Deutsch (ipchains, neues Firewall Programm, Kernel 2.2.x) #----------------------- #www.linuxbu.ch # #Das Buch kann man Kapitelweise als PDF runterladen. Bezieht sich auf #Suse6.4, stimmt aber auch noch auf Suse7.0. Ein Profibuch # #Firewall Handbuch Deutsch (ipfwrd, altes Firewall Programm, Kernel 2.0.x) #-------------------------- #http://abi2000.exit.mytoday.de/keepntouch/ #Das würd ich einfach runterladen, wer weiss wie lange es noch dort liegt! # #Ein paar Links #-------------- #www.pro-linux.de/work/server/router/teil1.html #www.nickles.de #www.linuxbu.ch #www.little-idiot.de/firewall #www.opensourcefirewall.com # #Die Ueberwachung einer Linux Firewall (für Profis) #www.enteract.com/~lspitz/pubs.html # # #Firewall-Router Systeme (nen alten Rechner vor das Internet stellen und den #besten Schutz haben) #------------------------------------------------------------ #z.b. auf 386SX ohne Harddisk nur Floppy und Netzwerkkarte und Modem # #www.freesco.org #www.linux-router.org (im Umbau, und waren etwas kompliziert) # # #z.b mit ISDN #http://www.fli4l.de # # #mit einem alten 486er 100Mhz und einer kleinen Harddisk: #http://www.smoothwall.org/ #(da kann man sich eine 20MByte iso-Datei holen und z.b. auf eine CD brennen #mit irgendeinem Brennprogramm) # # #=================================== #Die eigentliche Standalone Firewall #=================================== # #Ob nun ein Modem (ppp0) oder ISDN (ippp) oder DAB (?digital Satellite) als #Pheripherie eingesetzt wird zum Internet, muss in GATE definiert werden. #Und die DNS Nummer ihres Provider muss in DNS1=definiert und #DNS2=definiert werden. #
echo Starting Firewall
# #Hier muss man seine persöhnlichen Daten eingeben. #================================================= # #GATE ist das Interface fuer den Internet-Kontakt #DNS1 Nummer Ihres DNS-Namensserver Ihres Providers #DNS2 ...zweite DNS Nummer, sonst leerlassen #Bei den DNS kann es sein, dass Sie nicht alle x mit Zahlen überschreiben #können, jedoch sollte die Trennpunkte erhalten bleiben. #So könnte eine frei erfundene DNS-Nummer aussehen. DNS=183.123.2.445 #IPCHAINS ist der Pfad zum ipchains Programm #LANx ist für das Anti-ipspoofing
GATE=ppp0 DNS1=xxx.xxx.xxx.xxx DNS2=xxx.xxx.xxx.xxx DNS3=xxx.xxx.xxx.xxx DNS4=xxx.xxx.xxx.xxx LANx=192.168.0.0/255.255.255.0 IPCHAINS=/sbin/ipchains
##### default policies and initialisation
$IPCHAINS -P input DENY $IPCHAINS -P forward DENY $IPCHAINS -P output ACCEPT
$IPCHAINS -F $IPCHAINS -X $IPCHAINS -N ppp-in
##### input rules
$IPCHAINS -A input -i lo -j ACCEPT $IPCHAINS -A input -i $GATE -j ppp-in $IPCHAINS -A input -j DENY -l
##### ppp-in rules
#ssh Verbindungen, ssh die eine Verbindung aufbauen wollen sperren und loggen $IPCHAINS -A ppp-in -p tcp -y --dport ssh -j DENY -l
#ssh Verbindungen, ssh die keine Verbindung aufbauen wollen aktzeptieren # und loggen $IPCHAINS -A ppp-in -p tcp ! -y --dport ssh -j ACCEPT -l
#IP-spoofing verhindern $IPCHAINS -A ppp-in -p tcp -s $LANx -j DENY -l
# Alle TCP-Pakete, die eine Verbindung aufbauen wollen, sperren $IPCHAINS -A ppp-in -p tcp -y -j DENY
# Alle TCP-Pakete, die keine Verbindung aufbauen wollen, akzeptieren $IPCHAINS -A ppp-in -p tcp ! -y -j ACCEPT
# DNS-Datagramme akzeptieren # Das sind die Namensserver (auch DNS genannnt), ersetzen durch die # Ihres Providers $IPCHAINS -A ppp-in -p udp -s $DNS1 --sport 53 --dport 1024:1100 -j ACCEPT $IPCHAINS -A ppp-in -p udp -s $DNS2 --sport 53 --dport 1024:1100 -j ACCEPT $IPCHAINS -A ppp-in -p udp -s $DNS3 --sport 53 --dport 1024:1100 -j ACCEPT $IPCHAINS -A ppp-in -p udp -s $DNS4 --sport 53 --dport 1024:1100 -j ACCEPT
# auth-Verbindungen mit DENY (evt. REJECT) abweisen (kein Timeout) $IPCHAINS -A ppp-in -p tcp -y --dport auth -j DENY
# ICMP : nur die notwendigen ICMP-Typen akzeptieren # echo-request, Ping wird verworfen wenn DENY sonst auf ACCEPT # #Momentan keine icmp wegen Angriff Moeglichkeiten, und Route Changes!! #$IPCHAINS -A ppp-in -p icmp --icmp-type destination-unreachable -j ACCEPT -l #$IPCHAINS -A ppp-in -p icmp --icmp-type echo-request -j ACCEPT -l #$IPCHAINS -A ppp-in -p icmp --icmp-type echo-reply -j ACCEPT -l #$IPCHAINS -A ppp-in -p icmp --icmp-type time-exceeded -j ACCEPT -l #$IPCHAINS -A ppp-in -p icmp --icmp-type parameter-problem -j ACCEPT -l
#Pakete die nicht durch die Firewall bearbeitet wurden loggen $IPCHAINS -A input -l $IPCHAINS -A forward -l $IPCHAINS -A output -l
#Listet die aktuelle Firewall am Bildschirm $IPCHAINS -L
#
----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------