NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 20.01.2009, 22:32   #1
Shoreline Firewall
schienbein schienbein ist offline 20.01.2009, 22:32

Mal ein Tutorial für Unsere linux anfänger .. Da ich selbst nur mit Debian arbeite, schließe ich Fehler nicht aus, und bin über Korrekturen dankbar! Das Tutorial ist extra einfach gehalten, damit es auch jeder ***** soweit versteht ;o)



Installation:

Öffnen deine eine Konsole und geben Sie ein:

apt-get install shorewall


Konfiguration:

HINWEIS:
Alle Konfigurations-Dateien Shorewall werden in / etc / shorewall Ordner abgelegt.

WARNUNG:

Debian-Nutzer finden, dass Verzeichnis / etc / shorewall ist leer
die Dateien befinden sich / usr / share / doc / shorewall /default-config
kopiert euch den Ortner default-config auf eueren rechner und den inhalt
in das Verzeichnis /etc/shorewall


Schritt 1 - Konfiguration zones
Öffnen einfach die Datei / etc / shorewall / Zonen und bearbeiten es wie folgt:
Code:
###############################################################################
#ZONE    TYPE        OPTIONS        IN            OUT
#                    OPTIONS            OPTIONS
fw    firewall
net    ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

Schritt 2 - Konfiguration policy

Öffnen Sie die Datei / etc / shorewall / Politik und bearbeiten es wie folgt:
Code:
###############################################################################
#SOURCE        DEST        POLICY        LOG        LIMIT:BURST
#                        LEVEL
fw              net             ACCEPT
net             all             DROP
#LAST LINE -- DO NOT REMOVE
Schritt 3 - Konfiguration der Schnittstellen
Öffnen Sie die Datei / etc / shorewall / Interfaces und bearbeiten es wie folgt:

Code:
###############################################################################
#ZONE    INTERFACE    BROADCAST    OPTIONS
net      eth0            detect           dhcp
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Schritt 4 - Ab Shorewall
Regeln Beispiele:

Code:
#############################################################################################################
#ACTION    SOURCE        DEST        PROTO    DEST    SOURCE        ORIGINAL    RATE        USER/
#                        PORT(S)    PORT(S)        DEST        LIMIT        GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
ACCEPT   net             fw               tcp    21
ACCEPT   net             fw               udp    21

ACCEPT   net             fw               tcp    80
ACCEPT   net             fw               udp    80


#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Mit dieser regel haben wir nun den tcp und udp port für eueren ftp und eueren Apache freigegeben


das macht ihr mit allen ports die ihr geöffnet haben müsst der rest wird geblockt

Schritt 5 - Shorewall Starten

/ etc / init.d / shorewall starten


hoffe das ich es einigermassen verstäntlich erklärt habe

mfg schienbein


Update:
wen ihr nicht wie oben in den regeln alles doppelt sreiben wollt könnt ihr auch die vor
devienierten regeln der fw nutzen diese findet ihr in /usr/share/shorewall

[/code]Schritt 4 - Ab Shorewall
Regeln Beispiele:

Code:
#############################################################################################################
#ACTION    SOURCE        DEST        PROTO    DEST    SOURCE        ORIGINAL    RATE        USER/
#                        PORT(S)    PORT(S)        DEST        LIMIT        GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
HTTP/ACCEPT       net         fw
HTTPS/ACCEPT     net         fw
MySQL/ACCEPT     net         fw
SMTP/ACCEPT       net         fw
SSH/ACCEPT         net         fw  <------ nur wen nicht geändert


#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

dan schreibt ich noch in euerem interface blacklist
das ganze schaut dan so aus
Code:
###############################################################################
#ZONE    INTERFACE    BROADCAST    OPTIONS
net      eth0            detect               blacklist
83.101.44.60
83.101.76.197
83.104.32.188
83.112.149.88
200.133.47.76
200.140.46.19
200.162.249.131
200.170.221.10
200.171.17.23
200.241.58.26
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
jezt habt ihr die möglichkeit ips permanet zu blockieren tragt dazu die ip in euereblacklist ein.

ps. ihr müsst nach jedem eintrag die fw neustarten um die änderung zu aktivieren
/ etc / init.d / stop
/ etc / init.d / start

Update Blackliste 15.07.09

Hier mal eine von mir erstellte Blacklist hier bei handelt es sich um eine badpeers antip2p und einer black poxy liste die ips einfach in die black list kopierten neustart der fw fertig!!!!!!!!!!

Für webmin nutzer
Webmin nutzer brauchen nur Appely configuration button in der admin oberfläche drücken und schon ist die blacklist aktiv

Siehe beispiel blacklist!!!!!!!!



/ etc / init.d / stop
/ etc / init.d / start


mfg schienbein



Angeh?ngte Dateien
Dateityp: txt poxybolck antip2p badpeers.txt (20,1 KB, 21x aufgerufen)


Ge?ndert von schienbein (15.07.2009 um 13:29 Uhr).

 
Benutzerbild von schienbein
schienbein
Benutzer
Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60
Levelaufstieg: 70% Levelaufstieg: 70% Levelaufstieg: 70%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Downloads: 55
Uploads: 1
Nachrichten: 19
Hits: 11219
Mit Zitat antworten
Folgende 7 Benutzer sagen Danke zu schienbein für den nützlichen Beitrag:
.:.Uranus.:. (14.06.2010), BonkeR (20.01.2009), Cerberus (20.01.2009), DoLo (20.01.2009), metathron (20.01.2009), RedFighter (14.07.2009), SeeYou (21.01.2009)
Alt 20.01.2009, 22:35   #2
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.638
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2257
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

feine Sache das ...
Post 80 noch rein, damit der Apache auch rennt -- dann sollte das funzen
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.01.2009, 02:02   #3
Miata3de
Erfahrener Benutzer
Punkte: 13.413, Level: 75 Punkte: 13.413, Level: 75 Punkte: 13.413, Level: 75
Levelaufstieg: 41% Levelaufstieg: 41% Levelaufstieg: 41%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Miata3de
 
Registriert seit: 07.06.2008
Ort: 3. Datei links nach der index.php
Beitr?ge: 172
Abgegebene Danke: 38
Erhielt 3 Danke für 1 Beitrag
Downloads: 12
Uploads: 0
Nachrichten: 0
Renommee-Modifikator:
194 Miata3de wird schon bald berühmt werden
Standard

ich vermisse auch den ssh-port.. wird bestimmt nen lustiges erwachen, nachdem du die firewall mit den einstellungen startest.
wenn du glück hast bietet dir dein provider eine "rescue-net-boot" möglichkeit, sonst ..
Viel spass beim neu aufsetzen
Miata3de ist offline   Mit Zitat antworten Nach oben
Alt 21.01.2009, 02:21   #4
schienbein
Benutzer
Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60
Levelaufstieg: 70% Levelaufstieg: 70% Levelaufstieg: 70%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von schienbein
 
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 55
Uploads: 1
Nachrichten: 19
Renommee-Modifikator:
0 schienbein ist einfach richtig nettschienbein ist einfach richtig nettschienbein ist einfach richtig nettschienbein ist einfach richtig nettschienbein ist einfach richtig nett
Standard

Zitat:
Zitat von Miata3de Beitrag anzeigen
ich vermisse auch den ssh-port.. wird bestimmt nen lustiges erwachen, nachdem du die firewall mit den einstellungen startest.
wenn du glück hast bietet dir dein provider eine "rescue-net-boot" möglichkeit, sonst ..
Viel spass beim neu aufsetzen

du kanst aber lesen oder ? steht doch alles da was du machen must ist ja nur ein beispiel.


mfg schienbein
schienbein ist offline   Mit Zitat antworten Nach oben
Alt 21.01.2009, 09:41   #5
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.638
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2257
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

ich denk mal, das dies nur eine Gedakenstütze für die User sein sollte, daran zu denken, welche Posrts frei sein müssen.

FTP (21)
HTTP (80)
SSH (22)

z.B. ....

es wird sonst bestimmt einige User geben, die dies nicht bedenken und sich damit selber "aussperren"
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.01.2009, 16:15   #6
SeeYou
Profi
Punkte: 19.858, Level: 89 Punkte: 19.858, Level: 89 Punkte: 19.858, Level: 89
Levelaufstieg: 2% Levelaufstieg: 2% Levelaufstieg: 2%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SeeYou
 
Registriert seit: 29.03.2008
Beitr?ge: 798
Abgegebene Danke: 119
Erhielt 123 Danke für 19 Beiträge
Downloads: 6
Uploads: 0
Nachrichten: 2
Renommee-Modifikator:
1236 SeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes AnsehenSeeYou genießt hohes Ansehen
Standard

öhm in welcher datei finde ich das ... oder besser in welcher muss das rein..natürlich mit meiner erweiterung..

PHP-Code:
#############################################################################################################
#ACTION    SOURCE        DEST        PROTO    DEST    SOURCE        ORIGINAL    RATE        USER/
#                        PORT(S)    PORT(S)        DEST        LIMIT        GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
ACCEPT   net             fw               tcp    21
ACCEPT   net             fw               udp    21

ACCEPT   net             fw               tcp    80
ACCEPT   net             fw               udp    80


#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 
__________________
Gruß SeeYou

Weis nix - Hör nix - Seh nix - Kann nix
SeeYou ist offline   Mit Zitat antworten Nach oben
Alt 21.01.2009, 16:28   #7
Donsebarone
Erfahrener Benutzer
Punkte: 5.143, Level: 45 Punkte: 5.143, Level: 45 Punkte: 5.143, Level: 45
Levelaufstieg: 97% Levelaufstieg: 97% Levelaufstieg: 97%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Donsebarone
 
Registriert seit: 25.03.2008
Beitr?ge: 190
Abgegebene Danke: 30
Erhielt 113 Danke für 9 Beiträge
Downloads: 2
Uploads: 0
Nachrichten: 7
Renommee-Modifikator:
321 Donsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz seinDonsebarone kann auf vieles stolz sein
Standard

gibts nen unterschied zu IP Tables?


Donsebarone ist offline   Mit Zitat antworten Nach oben
Alt 21.01.2009, 16:58   #8
schienbein
Benutzer
Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60
Levelaufstieg: 70% Levelaufstieg: 70% Levelaufstieg: 70%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von schienbein
 
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Themenstarter Themenstarter
Downloads: 55
Uploads: 1
Nachrichten: 19
Renommee-Modifikator:
0 schienbein ist einfach richtig nettschienbein ist einfach richtig nettschienbein ist einfach richtig nettschienbein ist einfach richtig nettschienbein ist einfach richtig nett
Standard

Zitat:
Zitat von SeeYou Beitrag anzeigen
öhm in welcher datei finde ich das ... oder besser in welcher muss das rein..natürlich mit meiner erweiterung..

PHP-Code:
#############################################################################################################
#ACTION    SOURCE        DEST        PROTO    DEST    SOURCE        ORIGINAL    RATE        USER/
#                        PORT(S)    PORT(S)        DEST        LIMIT        GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
ACCEPT   net             fw               tcp    21
ACCEPT   net             fw               udp    21

ACCEPT   net             fw               tcp    80
ACCEPT   net             fw               udp    80


#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 

das ist die Regel datei oder Ruls in dem ortner da giebst du an über welche ports du erreichbar bist
schienbein ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:31 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS