Hi,

haltet Ihr die von Suse mitgelieferte Firewall2 für gut oder kennt Ihr bessere?

Alternativ kann man ja auch die alte Personal Firewall von Suse einsetzen. Laut Suse ist die für Privatanwender sogar besser, weil sie einfach alles abblockt. Stimmt das bzw. habt Ihr da Erfahrungen?

Gruß Der Surfer

du bist zwar prinzipiell nicht im falschen forum, aber ich denke im linux-forum bist du am besten aufgehoben, deswegen verschieb ichs mal.

.cruz

ich würde mal sagen: das kommt auf das einsatzgebiet an...

die "privat" firewall ist nicht wirklich ne firewall...

es ist ein masquerading mit einer wegblockierung (sprich alles was vom lan ins inet will wird erlaubt, alles was vom inet kommt wird geblockt)

nur will man diese möglichkeit oft nicht [sei es, weil man eine dmz einrichten will; sei es, das man hinter der firewall auf einen eigenen server weiterleiten will; sei es, das aktive verbindungen zugelassen werden sollen (ftp, icq, quake, ...); ...].

das masquerading ist schnell eingerichet (1 config-datei muss geändert werden) und funktioniert auf 2.2 und 2.4 kernel.

das kann man dann mit der "grossen" firewall (in einem vorgegebenem rahmen). es ist ein vordefiniertes script/regelwerk auf kernel 2.2-ipchains basis (da ich nur suse 7.2 hab weis ich nicht, ob suse bei 8.0 schonauf 2.4 und iptables gewechselt hat).

wenn man aber ganze spezielle sachen hat (z.b. vpn), dann kommt man ums selberdefinieren kaum herum.

[img]graemlins/teufel3.gif[/img]

achso, ich wollte dazu ja nochwas schreiben:

so weit ich weiß, ist die "suse-firewall" nichts anderes als ein script, welches iptables-regeln erstellt. iptables/netfilter ist die unter linux übliche firewall (besser: packetfilter), die im grunde sehr brauchbar ist.

das blöde an scripts, die automatisch regeln erstellen, ist, dass sie selten so gut wie handoptimierte firewallregeln sind.

weitaus wichtiger als eine firewall ist für den privatanwender ist der gleich rat wie unter windows: alle nicht benötigten dienste abstellen, so dass keine ports permanent offenstehen.

installiere dir doch mal das packet "nmap" (müsste bei suse dabei sein, sonst http://nmap.org ) und scanne deinen rechner mit folgendem befehl:
</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">nmap -p 1-65535 localhost </pre>[/QUOTE]und poste uns das ergebnis.

.cruz

[ 12. September 2002, 15:25: Beitrag editiert von: cruz ]

hi,

Suse 8.0 verwendet imo Iptables. Mehr kann ich zur Suse-FW leider auch nicht beitragen. Dem Tip nmap zu installieren kann ich mich eigentlich nur anschliessen. Es gibt auch eine GUI dafür, falls Dir diese Möglichkeit ein Prog zu bedienen mehr gefällt.

Magst Du nmap nicht installieren, hilft Dir ein netstat -tupa in der Konsole auch weiter. Dieser Parameter zeigt Dir zu den geöffneten Ports zusätzlich den Process (Dienst) noch mit an. Dann kannst Du die nicht benötigten Dienste deaktivieren.

piet

Den Hinweis auf nmap fand ich sehr nützlich - das kannte ich noch nicht.

Hier mal mein Ergebnis von nmap - zur kritischen Begutachtung:

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on localhost (127.0.0.1):
(The 65527 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
37/tcp open time
80/tcp open http
139/tcp open netbios-ssn
513/tcp open login
3306/tcp open mysql
10013/tcp open unknown

-----------------------------
Scheint mir eigentlich alles okay, oder? Die einzigen beiden Dienste, die ich persönlich nicht wirklich einordnen kann sind time und login. Sind die notwendig?
nebios brauch ich für samba und der unknown service auf 10013 ist webmin.

&gt;22/tcp open ssh

OpenSSL upgedated?

&gt;25/tcp open smtp

Notwendig? Welcher MTA?

&gt;80/tcp open http

OpenSSL upgedated?

&gt;10013/tcp open unknown

Welche Version?

&gt;wirklich einordnen kann sind time und login

Time ist imho zum synchronisieren der Zeit innerhalb von Netzwerken gut. Kannst z.B. deine Windows Rechner mit der Uhrzeit deines Servers synchronisieren ;o).

Login dient imho für Remote Logins. Beide sind imho nicht notwendig.

ok, andreas hat eh so ziemlich alles aufgelöst...

port 139 -&gt; hast du einen samba-server laufen?

dienste, die du nach aussen hin nicht anbieten willst, solltest du per firewall (ipchains/iptable, je nach kernel) schützen...

gegebenfalls solltest du, wenn du öffentliche dienste anbietest, über eine dmz nachdenken (hat aber IMO nur sinn, wenn jeweils für firewall _und_ dmz-rechner eigene computer verwendet werden):



[edit]
alle unnötigen (bekannten) dienste kann man in /etc/services durch auskommentieren (setzen von # am anfang der jeweiligen zeile) deaktivieren...
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 08. Oktober 2002, 08:46: Beitrag editiert von: n_dot_force ]

&gt;&gt;22/tcp open ssh
&gt;OpenSSL upgedated?

Yepp.

&gt;&gt;25/tcp open smtp
&gt;Notwendig? Welcher MTA?

Gute Frage. MTA ist sendmail. Ob notwendig ... hmm ... - ich programmier halt viel in PHP und da sind z. T. auch Scripte dabei, die automatisch Mails generieren und verschicken. Und auch das möcht ich natürlich testen können. Wenn ich das richtig sehe, braucht PHP dafür sendmail - bin mir aber nicht 100%ig sicher. Falls hier jemand näheres dazu weiss, wär ich für Infos dankbar.

&gt;&gt;80/tcp open http
&gt;OpenSSL upgedated?

Öhhh ... - nicht im Laufe der letzten 3-4 Monate. Sollte ich mal wieder?

&gt;&gt;10013/tcp open unknown
&gt;Welche Version?

1.020 - die aktuellste IMHO.

&gt;Login dient imho für Remote Logins. Beide sind imho nicht notwendig.

Bzgl. time leuchtet mir das sofort ein - nicht bzgl. login. Meine Linux-Kiste brummt in einer Ecke vor sich hin, da ist aber kein Monitor, keine Tastatur und keine Maus dran. Das heisst ich nutze und administriere das Teil eigentlich zu 100% aus dem lokalen Netz heraus - ergo brauch ich doch Remote Login, oder?

</font><blockquote>Zitat:</font><hr />Original erstellt von urban:
...
Bzgl. time leuchtet mir das sofort ein - nicht bzgl. login. Meine Linux-Kiste brummt in einer Ecke vor sich hin, da ist aber kein Monitor, keine Tastatur und keine Maus dran. Das heisst ich nutze und administriere das Teil eigentlich zu 100% aus dem lokalen Netz heraus - ergo brauch ich doch Remote Login, oder?
...</font>[/QUOTE]dafür hast ja ssh da... das hat einen eigenen daemon und eine eigene, sicheren zugriff zum einloggen

der einzige nachteil: der zugriff von windows-maschinen aus ist standardmässig nicht möglich, da diese kein ssh können...

durch 3rd-party-tools wie putty (kostenloser und sehr guter ssh-client) wird das ausgeglichen [img]smile.gif[/img]

und mit sendmail würd ich aufpassen... kann leicht als relay für spam benutzt werden siehe hier ²

achja: als faustregel gilt: jeder dienst, den du anbietest, sollte in der letzten version installiert sein...

nur interessenhalber: welche distro verwendest du?

[edit]
schreib- und grammatikfehler korrigiert [img]smile.gif[/img]
² - link richtig gesetzt, typischer copy & waste - fehler *g* (thx an piet für's melden)
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 08. Oktober 2002, 14:03: Beitrag editiert von: n_dot_force ]

</font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force:
dafür hast ja ssh da... das hat einen eigenen daemon und eine eigene, sicheren zugriff zum einloggen </font>[/QUOTE]Okay, leuchtet ein. Frage: Wofür ist denn dann dieser login-Dienst eigentlich gut? Weil Telnet ist ja auch abgeschaltet. Und Windows-Zugriff passiert über Samba. Welche andere Art eines Remote-Logins gibts noch?

</font><blockquote>Zitat:</font><hr />durch 3rd-party-tools wie putty (kostenloser und sehr guter ssh-client) wird das ausgeglichen [img]smile.gif[/img] </font>[/QUOTE]Jo - putty hat eh einen Stammplatz auf meinem Desktop [img]smile.gif[/img] . Leider isses nicht so komfortabel wie manches Terminal-Programm. Was mich z. B. immer wieder nervt, dass man die Einstellungen für "saved sessions" nicht nachträglich ändern kann. (Oder kann man's und ich hab noch nicht rausgefunden wie?)

</font><blockquote>Zitat:</font><hr />und mit sendmail würd ich aufpassen...</font>[/QUOTE]Jo - ist bekannt. Für meinen Entwicklungsserver spielt das nicht so'ne große Rolle, weil das Teil nach außen sowieso nicht in Erscheinung tritt. Aber bei einem von mir betreuten Webserver hatte ich aufgrund von Relay-Spamming schon reichlich Gelegenheit, mich mit dem Dichtmachen von sendmail zu beschäftigen ...

</font><blockquote>Zitat:</font><hr />nur interessenhalber: welche distro verwendest du?</font>[/QUOTE]Suse 7.2

</font><blockquote>Zitat:</font><hr />Original erstellt von urban:
Okay, leuchtet ein. Frage: Wofür ist denn dann dieser login-Dienst eigentlich gut? Weil Telnet ist ja auch abgeschaltet.</font>[/QUOTE]es gibt noch andere login-möglichkeiten (auf unix/linuxebene)... rlogin z.b.

</font><blockquote>Zitat:</font><hr />Und Windows-Zugriff passiert über Samba.</font>[/QUOTE]autsch!

ein samba-server emuliert in erster linie nur das smb-protokoll (und in zweiter linie kann man einen primary domain server draus machen)... zugriff erfolgt nur auf die freigaben...

wenn ich aber zugriff spreche, dann ist das auf shell- und nicht auf dienst-ebene

</font><blockquote>Zitat:</font><hr />Was mich z. B. immer wieder nervt, dass man die Einstellungen für "saved sessions" nicht nachträglich ändern kann.</font>[/QUOTE]sicher... einfach drüberspeichern

betreffend deiner distro:

du konfiguriere einfach die "grosse" suse-firewall... das script ist nicht schlecht (hab ich derzeit auch noch in verwendung, bis es von gentoo linux abgelöst wird *g*)...

da kannst eh wunderschön definieren, wer z.b. auf ssh zugriff hat usw.

das script ist auch dmz-fähig...

das einzige manko von suse 7.2... man merkt, das es alt wird (die updates zu machen wird immer mehr tricky)

das ist für mich vor allem der grund, auf gentoo linux umzusteigen...

[img]graemlins/teufel3.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von urban:
Frage: Wofür ist denn dann dieser login-Dienst eigentlich gut? Weil Telnet ist ja auch abgeschaltet. </font>[/QUOTE]Das ist sozusagen ein Ersatz für TELNET. Der Dienst auf dem Client ist rlogin, auf dem Server rlogind. Die Übertragung ist wie bei Telnet unverschlüsselt. Imo gibt es da unter *nix noch mehr Dienste mit r.... . Wobei das r immer für remote steht.

Noch was anderes: Wie ist das eigentlich mit dem Scan mittels nmap von locaslhost auf localhost ? Man scannt ja über das Loopback Device. Nun hab ich schon öfters gelesen, dass man von einem anderen Rechner aus scannen soll.

Kann dazu jemand was sagen ?

piet

bei einer firewall hast du ja (mindestens) 2 interfaces (ein öffentliches, ein internes)

mit nmap scannt man 2x... (oder mehr, je nach anzahl der interfaces)

einmal die interne ip (oder localhost)... dann sieht man die dienste, die nach innen offen sind...

einmal die externe ip... dann sieht man, was nach aussen offen ist...

noch besser ist natürlich der scan von einem externen rechner aus auf das öffentliche interface...

btw: das loopback-device ist ja 127.0.0.1, und das ist der localhost

[img]graemlins/teufel3.gif[/img]

[ 08. Oktober 2002, 17:02: Beitrag editiert von: n_dot_force ]

</font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force:
</font><blockquote>Zitat:</font><hr />von urban:Was mich z. B. immer wieder nervt, dass man die Einstellungen für "saved sessions" nicht nachträglich ändern kann.</font>[/QUOTE]sicher... einfach drüberspeichern </font>[/QUOTE]????

Das musste mir aber mal genauer erklären. Wenn ich nämlich eine session geöffnet habe und da dann Einstellungen veränder, dann hab ich keine Option zum Speichern mehr.

Und wenn ich das vor dem Öffnen der Session mache, dann muss ich ALLE Einstellungen neu eingeben. (Happisch krasse Brett vor Kopf??)

[ 08. Oktober 2002, 17:18: Beitrag editiert von: urban ]