hallo @all,
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim nächsten start jedesmal weg. wie ist das zu beheben?
danke vorab & greetz, kai
Hallo Kai,
Kai-Micael Preiß Kai-Micael Preiß preiss@ifl.tu-dresden.de:
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim nächsten start jedesmal weg. wie ist das zu beheben?
FYI: arno-iptables-firewall - Single- and multi-homed firewall script with DSL/ADSL support firehol - An easy to use but powerful iptables stateful firewall kmyfirewall - iptables based firewall configuration tool for KDE uif - Advanced iptables-firewall script uruk - Very small firewall script, for configuring iptables
Man muss ja nicht alles selber erfinden. ;-)
Freundlich grüßend,
Erik
hi,
muss man nicht, kann man aber ;) auch wenn ich schlussendlich eine "fertigloesung" nutze, wuerde ich's gern prinzipiell verstehen!
gruss, kai
On Wed, 11 Oct 2006, Erik Schanze wrote:
Hallo Kai,
Kai-Micael Prei� Kai-Micael Prei� preiss@ifl.tu-dresden.de:
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim n�chsten start jedesmal weg. wie ist das zu beheben?
FYI: arno-iptables-firewall - Single- and multi-homed firewall script with DSL/ADSL support firehol - An easy to use but powerful iptables stateful firewall kmyfirewall - iptables based firewall configuration tool for KDE uif - Advanced iptables-firewall script uruk - Very small firewall script, for configuring iptables
Man muss ja nicht alles selber erfinden. ;-)
Freundlich gr��end,
Erik
-- www.ErikSchanze.de ********************************************* Bitte keine HTML-E-Mails! No HTML mails, please! Limit: 100 kB * - 5. Linux-Info-Tag in Dresden, Ende Oktober 2007 * Info: http://www.linux-info-tag.de/ *
am Wed, dem 11.10.2006, um 21:55:40 +0200 mailte Erik Schanze folgendes:
Hallo Kai,
Kai-Micael Preiß Kai-Micael Preiß preiss@ifl.tu-dresden.de:
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim nächsten start jedesmal weg. wie ist das zu beheben?
Man muss ja nicht alles selber erfinden. ;-)
Natürlich nicht. Aber es ist schon sinnvoll, selbst zu verstehen, was man tut. Gerade in diesem Bereich.
Andreas
am Wed, dem 11.10.2006, um 20:52:29 +0200 mailte Kai-Micael Preiß folgendes:
hallo @all,
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim nächsten start jedesmal weg. wie ist das zu beheben?
- Script schreiben, was die Einstellungen vornimmt, und... - man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
Allgemein: ich bezweifle, daß Du überhaupt iptables benötigst. Konfiguriere Deine Dienste sinnvoll.
Andreas
On Wed, 11 Oct 2006, Andreas Kretschmer wrote:
am Wed, dem 11.10.2006, um 20:52:29 +0200 mailte Kai-Micael Prei� folgendes:
hallo @all,
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim n�chsten start jedesmal weg. wie ist das zu beheben?
- Script schreiben, was die Einstellungen vornimmt, und...
- man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
Allgemein: ich bezweifle, da� Du �berhaupt iptables ben�tigst. Konfiguriere Deine Dienste sinnvoll.
Andreas
hallo,
danke fuer die hinweise. hatte mich schon mit iptables-save und ~-restore befasst, dachte aber auch, dass es noch 'ne art daemon oder so gibt, der das ganze automatisiert...
was verstehst du unter dienstekonfiguration?! habe weder apache noch ssh oder einen anderen dienst, den ich anbieten WILL! allerdings ist der CUPS am laufen, ein MTA selbstverfreilich' und auch der JAP. alle lauschen an irgendwelchen ports und ganz so versiert bin ich leider noch nicht:
Subject: Tiger Auditing Report for <...>
# Checking listening processes OLD: --WARN-- [lin002i] The process `portsentry' is listening on socket 635 (UDP) on every interface. OLD: --WARN-- [lin002i] The process `rpc.statd' is listening on socket 750 (UDP) on every interface. OLD: --WARN-- [lin002i] The process `rpc.statd' is listening on socket 753 (UDP) on every interface. OLD: --WARN-- [lin002i] The process `rpc.statd' is listening on socket 756 (TCP) on every interface. NEW: --WARN-- [lin002i] The process `rpc.statd' is listening on socket 632 (UDP) on every interface. NEW: --WARN-- [lin002i] The process `rpc.statd' is listening on socket 635 (UDP) on every interface. NEW: --WARN-- [lin002i] The process `rpc.statd' is listening on socket 638 (TCP) on every interface. OLD: --WARN-- [lin003w] The process `famd' is listening on socket 709 (TCP on loopback interface) is run by <user>. NEW: --WARN-- [lin003w] The process `famd' is listening on socket 1015 (TCP on loopback interface) is run by <user>.
hier muss ich nun erstmal nachschauen, wozu die dienste benoetigt und wie sie im einzelnen konfiguriert werden. deshalb die firewall...
aus eben genanntem grund weisz ich die hilfe von user groups und mailforen umso mehr zu schaetzen! und: ich will es grundsaetzlich verstehen und nicht nur fertigprodukte nutzen.
in diesem sinne lieben dank und gruesze,
kai
On Thu, Oct 12, 2006 at 10:15:28AM +0200, Kai-Micael Preiss wrote:
danke fuer die hinweise. hatte mich schon mit iptables-save und ~-restore befasst, dachte aber auch, dass es noch 'ne art daemon oder so gibt, der das ganze automatisiert...
Bei Debian unter /etc/network/interfaces kann man eien Regel angeben (pre- bzw. post-up), so dass beim Hochfahren eines Geraetes automatisch ein Kommando ausgefuehrt wird.
was verstehst du unter dienstekonfiguration?! habe weder apache noch ssh oder einen anderen dienst, den ich anbieten WILL! allerdings ist der CUPS am laufen, ein MTA selbstverfreilich' und auch der JAP. alle lauschen an irgendwelchen ports und ganz so versiert bin ich leider noch nicht:
Man kann den Zugriff auf Dienste z.B. auf bestimmte Ip-Addressen beschraenken. "man hosts.allow" bzw. hosts.deny hilft vielleicht ein wenig weiter.
Ulf
- Script schreiben, was die Einstellungen vornimmt, und...
- man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
p.s.: würde hier nicht ein simpler eintrag in der inittab (aufruf von iptables-restore) ausreichend sein? oder fehlt da noch ein bissl was vorher...?!
gruß, kai
am Thu, dem 12.10.2006, um 10:51:12 +0200 mailte Kai-Micael Preiß folgendes:
- Script schreiben, was die Einstellungen vornimmt, und...
- man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
p.s.: würde hier nicht ein simpler eintrag in der inittab (aufruf von iptables-restore) ausreichend sein? oder fehlt da noch ein bissl was
Sollte gehen. Ich ziehe ein selbst geschriebenes, kommentiertes Script allerdings vor.
Andreas
- Script schreiben, was die Einstellungen vornimmt, und...
- man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
p.s.: würde hier nicht ein simpler eintrag in der inittab (aufruf von iptables-restore) ausreichend sein? oder fehlt da noch ein bissl was
Sollte gehen. Ich ziehe ein selbst geschriebenes, kommentiertes Script
allerdings vor.
Andreas
also bsp.-weise:
#!/bin/sh iptables -P INPUT DROP iptables -P FORWARD DROP ... iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT ...
unter /etc/init.d/ als myfirewall ablegen und per
update-rc.d myfirewall defaults in den bootvorgang einbinden. wär das ok? hab grad noch was and'res gefunden: einfügen der regeln unter /etc/network/interfaces. bsp.-weise:
iface eth0 inet static address ... netmask ... ... up /etc/init.d/myfirewall ...
was ist deiner meinung nach günstiger?
grüße, kai
am Thu, dem 12.10.2006, um 13:10:01 +0200 mailte Kai-Micael Preiß folgendes:
also bsp.-weise:
#!/bin/sh iptables -P INPUT DROP iptables -P FORWARD DROP ... iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT ...
unter /etc/init.d/ als myfirewall ablegen und per
update-rc.d myfirewall defaults in den bootvorgang einbinden. wär das ok?
so mach ich es.
Andreas
merci für den support! hab es soeben erfolgreich umgesetzt!
kai
-----Ursprüngliche Nachricht----- Von: lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann.de [mailto:lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann .de] Im Auftrag von Andreas Kretschmer Gesendet: Donnerstag, 12. Oktober 2006 13:27 An: lug-dd@mailman.schlittermann.de Betreff: Re: iptables
am Thu, dem 12.10.2006, um 13:10:01 +0200 mailte Kai-Micael Preiß folgendes:
also bsp.-weise:
#!/bin/sh iptables -P INPUT DROP iptables -P FORWARD DROP ... iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT ...
unter /etc/init.d/ als myfirewall ablegen und per
update-rc.d myfirewall defaults in den bootvorgang einbinden. wär das ok?
so mach ich es.
Andreas -- Andreas Kretschmer Kontakt: Heynitz: 035242/47215, D1: 0160/7141639 (mehr: -> Header) GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 13:10:01 CEST):
- Script schreiben, was die Einstellungen vornimmt, und...
- man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
p.s.: würde hier nicht ein simpler eintrag in der inittab (aufruf von iptables-restore) ausreichend sein? oder fehlt da noch ein bissl was
Sollte gehen. Ich ziehe ein selbst geschriebenes, kommentiertes Script
allerdings vor.
Andreas
also bsp.-weise:
#!/bin/sh iptables -P INPUT DROP iptables -P FORWARD DROP ... iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
....
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Damit auch ICMP- und ähnliche Sachen als Antwort auf meine Verbindungsversuche reingelassen werden.
iface eth0 inet static address ... netmask ... ... up /etc/init.d/myfirewall
iface lo inet static pre-up /etc/network/firewall
... damit es *vorher* eingeschaltet wird.
Best regards from Dresden Viele Grüße aus Dresden Heiko Schlittermann
doch noch ein kleines prob:
ich habe jetzt den regelsatz implementiert. der wird auch ausgeführt. allerdings hängt jetzt der rechner ewigkeiten, nachdem ich mich beim gdm angemeldet habe. könnte der regelsatz an sich das problem sein?:
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP
iptables -F
iptables -A -m state --state ESTABLISHED -j ACCEPT iptables -A -j REJECT
eine empfehlung (RELATED) hast du ja grad gegeben. wird' ich gleich abändern! die änderungen in der /etc/network/interfaces habe ich NICHT gemacht. müssen die mit rein? ist mit /etc/network/firewall nach pre-up das (dein) bash-skript gemeint?
besten gruß, ebenfalls aus dresden ;) kai
-----Ursprüngliche Nachricht----- Von: lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann.de [mailto:lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann .de] Im Auftrag von Heiko Schlittermann Gesendet: Donnerstag, 12. Oktober 2006 15:57 An: lug-dd@mailman.schlittermann.de Betreff: Re: iptables
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 13:10:01 CEST):
- Script schreiben, was die Einstellungen vornimmt, und...
- man iptables-save/restore lesen, und ... ... dies beim Booten aktivieren.
p.s.: würde hier nicht ein simpler eintrag in der inittab (aufruf von iptables-restore) ausreichend sein? oder fehlt da noch ein bissl was
Sollte gehen. Ich ziehe ein selbst geschriebenes, kommentiertes Script
allerdings vor.
Andreas
also bsp.-weise:
#!/bin/sh iptables -P INPUT DROP iptables -P FORWARD DROP ... iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
....
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Damit auch ICMP- und ähnliche Sachen als Antwort auf meine Verbindungsversuche reingelassen werden.
iface eth0 inet static address ... netmask ... ... up /etc/init.d/myfirewall
iface lo inet static pre-up /etc/network/firewall
... damit es *vorher* eingeschaltet wird.
Best regards from Dresden Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann HS12-RIPE ----------------------------------------- gnupg encrypted messages are welcome - key ID: 48D0359B --------------- gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B -
Hallo,
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 16:56:32 CEST):
doch noch ein kleines prob:
ich habe jetzt den regelsatz implementiert. der wird auch ausgeführt. allerdings hängt jetzt der rechner ewigkeiten, nachdem ich mich beim gdm angemeldet habe. könnte der regelsatz an sich das problem sein?:
iptables -i lo -j ACCEPT
am Anfang der Regeln hilft manchmal Wunder.
eine empfehlung (RELATED) hast du ja grad gegeben. wird' ich gleich abändern! die änderungen in der /etc/network/interfaces habe ich NICHT gemacht. müssen die mit rein? ist mit /etc/network/firewall nach pre-up das (dein) bash-skript gemeint?
Ja. Es war mein Vorschlag für das Starten des Scriptes. Wenn Du ihn an anderer Stelle startest, ist's ja auch ok. Mit dem pre-up für lo ist einfach sichergestellt, daß er /vor/ allen Netzinterfaces geladen wird.
wird sofort umgesetzt. durch die änderung in /etc/network/interfaces dürfte ja eigentlich update-rc.d ... überflüssig werden, oder?
neues prob: (die werden nicht alle *g*) habe - wie im linux sicherheitskochbuch empfohlen - die quelladressverifikation im kernel per
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
aktiviert. seitdem kann ich den jap-anonymizer nicht mehr nutzen. wie kann ich diesen (lokalen) proxy per iptables gezielt freigeben?
kai
-----Ursprüngliche Nachricht----- Von: lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann.de [mailto:lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann .de] Im Auftrag von Heiko Schlittermann Gesendet: Donnerstag, 12. Oktober 2006 17:34 An: 'Linux-User-Group Dresden' Betreff: Re: iptables
Hallo,
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 16:56:32 CEST):
doch noch ein kleines prob:
ich habe jetzt den regelsatz implementiert. der wird auch ausgeführt. allerdings hängt jetzt der rechner ewigkeiten, nachdem ich mich beim gdm angemeldet habe. könnte der regelsatz an sich das problem sein?:
iptables -i lo -j ACCEPT
am Anfang der Regeln hilft manchmal Wunder.
eine empfehlung (RELATED) hast du ja grad gegeben. wird' ich gleich abändern! die änderungen in der /etc/network/interfaces habe ich NICHT gemacht. müssen die mit rein? ist mit /etc/network/firewall nach pre-up das (dein) bash-skript gemeint?
Ja. Es war mein Vorschlag für das Starten des Scriptes. Wenn Du ihn an anderer Stelle startest, ist's ja auch ok. Mit dem pre-up für lo ist einfach sichergestellt, daß er /vor/ allen Netzinterfaces geladen wird.
-- Heiko
p.s.: iptables -i lo -j ACCEPT liefert fehlermeldung (no command specified)
-----Ursprüngliche Nachricht----- Von: lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann.de [mailto:lug-dd-bounces+kai-micael.preiss=tu-dresden.de@mailman.schlittermann .de] Im Auftrag von Heiko Schlittermann Gesendet: Donnerstag, 12. Oktober 2006 17:34 An: 'Linux-User-Group Dresden' Betreff: Re: iptables
Hallo,
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 16:56:32 CEST):
doch noch ein kleines prob:
ich habe jetzt den regelsatz implementiert. der wird auch ausgeführt. allerdings hängt jetzt der rechner ewigkeiten, nachdem ich mich beim gdm angemeldet habe. könnte der regelsatz an sich das problem sein?:
iptables -i lo -j ACCEPT
am Anfang der Regeln hilft manchmal Wunder.
eine empfehlung (RELATED) hast du ja grad gegeben. wird' ich gleich abändern! die änderungen in der /etc/network/interfaces habe ich NICHT gemacht. müssen die mit rein? ist mit /etc/network/firewall nach pre-up das (dein) bash-skript gemeint?
Ja. Es war mein Vorschlag für das Starten des Scriptes. Wenn Du ihn an anderer Stelle startest, ist's ja auch ok. Mit dem pre-up für lo ist einfach sichergestellt, daß er /vor/ allen Netzinterfaces geladen wird.
-- Heiko
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 18:32:48 CEST):
p.s.: iptables -i lo -j ACCEPT liefert fehlermeldung (no command specified)
Ja, Tippfehler
iptables -A INPUT -i lo -j ACCEPT
Heiko
On Thu, 12 Oct 2006, Heiko Schlittermann wrote:
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Do 12 Okt 2006 18:32:48 CEST):
p.s.: iptables -i lo -j ACCEPT liefert fehlermeldung (no command specified)
Ja, Tippfehler
iptables -A INPUT -i lo -j ACCEPTHeiko
dacht ich mir fast, allerdings steht nach iptables -L dann da:
Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED REJECT all -- anywhere anywhere reject-with icmp-port-unreachable ACCEPT all -- anywhere anywhere
die letzte zeile zeigt keinerlei einschraenkung bezgl. lo an... muss ich mir da gedanken machen?
thanks so far!
kai
Kai-Micael Preiss preiss@ifl.tu-dresden.de (Do 12 Okt 2006 22:26:08 CEST):
dacht ich mir fast, allerdings steht nach iptables -L dann da:
Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED REJECT all -- anywhere anywhere reject-with icmp-port-unreachable ACCEPT all -- anywhere anywhere
die letzte zeile zeigt keinerlei einschraenkung bezgl. lo an... muss ich mir da gedanken machen?
Nein, lies einfach mal bei iptables(8), wie Du verbose Ausgabe bekommst.
Heiko
Kai-Micael Preiß preiss@ifl.tu-dresden.de (Mi 11 Okt 2006 20:52:29 CEST):
hallo @all,
habe nun (mehr oder weniger) erfolgreich debian auf meinem laptop drauf. frage: wenn ich per iptables meine firewall konfiguriere, sind diese einstellungen beim nächsten start jedesmal weg. wie ist das zu beheben?
Nicht neu starten :)
Oder: iptables-save + iptables-restore Oder: Rules in ein Script schreiben und dieses dann z.B. in einer pre-up-Rule für lo starten. Oder an anderer passender Stelle im Init-Prozess
Best regards from Dresden Viele Grüße aus Dresden Heiko Schlittermann
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Erik Schanze -
Heiko Schlittermann -
Kai-Micael Preiss -
Kai-Micael Preiß
-
Ulf Lorenz