Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Newbie firewall
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Finnish
View previous topic :: View next topic  
Author Message
Alpo Nestori
n00b
n00b


Joined: 02 May 2004
Posts: 42

PostPosted: Sat Jun 05, 2004 8:43 am    Post subject: Newbie firewall Reply with quote

Firewall on paha rasti kun tulee suoraan Windows+Zonealarm maailmasta. Olisko kellään tietoa saitista missä olisi valmiit shorewall / iptables konfiguraatitiedostot, jossa olisi kaikki edonkeyt ja p2p:t konfiguroitu valmiiksi ja turva-asetukset kondiksessa? 8)
Back to top
View user's profile Send private message
Flammie
Developer
Developer


Joined: 02 Jun 2003
Posts: 633
Location: Dublin, Ireland

PostPosted: Sat Jun 05, 2004 10:04 am    Post subject: Reply with quote

Kotikäytössä pärjää usein riittävän hyvin sillä että konffaa porttikohtaisesti nuo sallinnat INPUT ketjuun, sitten kun ketjun kärkeen lisää kotiverkon ja itseavatut yhteydet sallituiksi niin siinäpä se jo on, itse asiassa fedorankin graafinen kilkutin (saisikohan sen portagestakin?) tekee sellaisen iptables-säännön. Ohjeet löytyy muistaakseni netfilterin sivuilta tai gentoon dokumenteista. Jotakuinkin niin jotta:

Code:

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT
...
iptables --policy INPUT DROP


missä noihin viimeisiin määritellään sitten dport **:een ne portit mitä auotaan. Ei se varmasti mitään parasta tietoturvaa takaa mutta ehkä jotain samaa luokkaa mitä joku ZA:kin.
Back to top
View user's profile Send private message
Mikessu
Moderator
Moderator


Joined: 11 Oct 2003
Posts: 219
Location: Oulu, Finland

PostPosted: Sat Jun 05, 2004 10:23 am    Post subject: Re: Newbie firewall Reply with quote

Alpo Nestori wrote:
Firewall on paha rasti kun tulee suoraan Windows+Zonealarm maailmasta. Olisko kellään tietoa saitista missä olisi valmiit shorewall / iptables konfiguraatitiedostot, jossa olisi kaikki edonkeyt ja p2p:t konfiguroitu valmiiksi ja turva-asetukset kondiksessa? 8)


Mitenkäs olisi sitten tuo firestarter? En ole itse kokeillut mutta tietääkseni se on joku helppo tapa tehdä palomuurisäännöt.

http://firestarter.sourceforge.net/
Back to top
View user's profile Send private message
Hartza
n00b
n00b


Joined: 22 May 2004
Posts: 26
Location: Finland

PostPosted: Sat Jun 05, 2004 10:29 am    Post subject: Reply with quote

Itse ajattelin kokeilla tuota http://www.fwbuilder.org/
Back to top
View user's profile Send private message
Icer
Guru
Guru


Joined: 26 Aug 2003
Posts: 395
Location: @home

PostPosted: Mon Jun 07, 2004 10:56 am    Post subject: Reply with quote

Hartza wrote:
Itse ajattelin kokeilla tuota http://www.fwbuilder.org/


Tää näyttää lupaavalta... oiskohan portagessaki.

Edit:No sieltähän se löyty... mitähän kaikkee tossa tarvii. No kaippa se selviää.

Edit2: Postatkaa kokemuksia noista tuliseinistä.
Back to top
View user's profile Send private message
hanta
Tux's lil' helper
Tux's lil' helper


Joined: 28 Jun 2002
Posts: 115
Location: Vantaa - Finland

PostPosted: Mon Jun 07, 2004 9:12 pm    Post subject: Reply with quote

minä olen tavallaan tykästynyt softaaqn nimeltä firehol (löytyy myös portagesta). se on jotain iptablesin ja GUI-konffaussoftien väliltä. säännöt kirjoitetaan hyvin yksinkertaisella notaatiolla hireholin konffiin ja firehol laitetaan käynnistymään käynnistyksen yhteydessä. säännöt ovat siistejä ja selkeitä.

kokeilin kyllä joskus jotain firestartereita ja fwbuildereita, mutta minusta tuntui, että niiden kanssa sääntöihinkin tuli turhaa bloattia. voi tuo toki olla vain kuvitteluakin, pääasia kai on, että käyttäjä on itse tyytyväinen.

jos puolestaan haluaa ymmärtää hitusen iptablesin säännöistä ja konffaamisesta, niin eräs Daniel Robbins on kirjoittanut Intelin sivuille (mielestäni) melkoisen hyvän kaksiosaisen johdannon aiheeseen.

Designing Flexible and Secure Firewalls, Part I :
http://www.intel.com/cd/ids/developer/asmo-na/eng/technologies/security/20552.htm

Stateful iptables Firewalls: Part 2 of 2:
http://www.intel.com/cd/ids/developer/asmo-na/eng/technologies/security/20555.htm

ko. sällin muitakin juttuja on aika runsaasti, niin Intelin kuin IBM:nkin saiteilla. haku nimellä Robbins tuottaa molemmissa melkoisesti osumia.
_________________
Janne
Back to top
View user's profile Send private message
wilho
Apprentice
Apprentice


Joined: 22 Jul 2002
Posts: 169

PostPosted: Tue Jun 08, 2004 1:52 pm    Post subject: Reply with quote

Voisikos joku selittää, onko yhdellä koneella mitään hyötyä iptablesin käytöstä? Tuntuu vaan, että moni joka näitä palomuureja pystyttelee vaikka ei omaa lähiverkkoa omaa... Jos ei ole palveluja kuuntelemassa, ei niitä voi exploitata - vai(?), ja eihän gentoossa kai ole yhtään palvelua kuuntelemassa oletuksena?
Back to top
View user's profile Send private message
Flammie
Developer
Developer


Joined: 02 Jun 2003
Posts: 633
Location: Dublin, Ireland

PostPosted: Tue Jun 08, 2004 4:25 pm    Post subject: Reply with quote

wilho wrote:
Voisikos joku selittää, onko yhdellä koneella mitään hyötyä iptablesin käytöstä? Tuntuu vaan, että moni joka näitä palomuureja pystyttelee vaikka ei omaa lähiverkkoa omaa... Jos ei ole palveluja kuuntelemassa, ei niitä voi exploitata - vai(?), ja eihän gentoossa kai ole yhtään palvelua kuuntelemassa oletuksena?


Gentoossahan on kuuntelemassa ne palvelut mitkä asentaa, tosin oletuksena ei mitään juurikaan kun kaikki palvelut käynnistetään /etc/init.d/-hakemistosta joko käsin tai sitten lisäämällä ne jollekin runlevelille. Jotkin monet käyttöohjelmat kyllä sinänsä toimivat jo palvelin-asiakas-periaatteella (X esimerkiksi), mutta niissäkin taitaa olla sen verran järkevät lähtöasetukset ettei ongelmia ole (tiedossa tällä hetkellä).

Tietysti pahimmat exploitit ovat sitä luokkaa ettei tarvitse kuin saada ohjelma kuulemaan jonkinlainen väännetty kättelykutsu niin tulee jo ongelmia, tai varmaan joskus on ICMP:llä työnnetyllä tauhkallakin ongelmaa aiheutettu. Aika paljon menee kyllä paranoiankin piikkiin palomuurien kanssa.
Back to top
View user's profile Send private message
Diezel
l33t
l33t


Joined: 04 Feb 2003
Posts: 600
Location: Karjaa, Finland

PostPosted: Fri Jun 11, 2004 5:53 am    Post subject: Reply with quote

Toisaalta saa tänäpäivänä melkein ilmaiseksi kotikäyttöön tarkoitettuja palomuureja. Linksys esim. maksaa 80 euron pintaan. Ei paha hinta palomuurille ja 5 porttiselle kytkimelle. Tämä siis jos omistaa ulkoisen DSL modeemin.
Shorewall on myös varteenotettava muuri, voi olla hieman vaikea aloittelialle mutta toisaalta dokumentaatio on todella hyvä.
_________________
A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473
Back to top
View user's profile Send private message
Alpo Nestori
n00b
n00b


Joined: 02 May 2004
Posts: 42

PostPosted: Sat Jun 12, 2004 10:14 am    Post subject: Reply with quote

kmyfirewall on mielestäni ehdottomasti helpoin. Laittaa kerneliin vaan kaikki iptables hässäkät moduleiksi ja pari muuta juttua:

Networking options
[*] Network packet filtering (replaces ipchains)
[*] IP: TCP syncookie support (disabled per default)
IP: Netfilter Configuration ---> ja täältä laittaa kaiken moduleiksi. [M]

Emergettaa kmyfirewallin. Sitten vain kmyfirewall päälle : file -> new ja sitten valitsee wizardin. Hiiri "nextin" päälle ja painelee naps, naps, naps, naps, naps, ja lopuksi finish :P Ohjelma lisää scriptin automaattisesti default runvelelille ja osaa ottaa huomioon Gentoon omat scriptien sijainnit jne. Hyvä käyttöliittymä ja ei tuo mukaan turhaa gnome roinaa kuten fwbuilder/firestarter.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Finnish All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum