[linux] firewall instellen
 

heej

ik hbe nu eindelijk debian 3.0 aan de praat en wil hem nu als firewall gebruiken
alles forwarden en masken gaat wel maar dat is natuurlijk een flutfirewall

hoe kom ik er8er welke poorten mijn programma's op de client gebruiken zodat ik die kan forwarden op de server

en ik had de vraag hoe ik terug kan vinden waar samba is geinstalleerd

dat is tijdens de installatie van debian gedaan en nu kan ik geen samba vinden op de locatie zoals die in de handleidingen staat

Firewall weet ik geen moer van, Samba is terug te vinden met 'updatedb' (als root) en daarna 'locate samba' of gewoon 'whereis samba'.

Dat hoeft niet per sé. Als op de firewall zelf haast geen services draaien is deze veilig. Ik zou er alleen SSH op draaien en die dan beperken tot bepaalde hosts (interne net en hoogstens enkele externe adressen). Het komt namelijk nog wel eens voor dat ze een probleem met OpenSSH vinden.

Zo nauwkeurig hoeft dat niet. Forward gewoon voor het interne net en blokkeer alles van buiten (behalve SSH, als je dat nodig hebt). Het is onnodig werk om regels te schrijven voor elke poort.

/etc/init.d/samba

Dit is het opstart-script:

/etc/init.d/samba stop

Stopt de smbd en nmbd deamons. Die je terug kunt vinden met:

whereis smbd
whereis nmbd

Met 'apt-get remove samba' zou je het pakket kunnen verwijderen.

ik maskeer dan is ie toch automatisch dat ie ook van buiten kan??

Onder alles forwarden versta ik 'alles forwarden dat van het interne net komt'.

$IPT -t nat -A POSTROUTING -o $PPP_IF -s $INT_NET -j MASQUERADE

Deze regel in mijn firewall-script zorgt bijv. voor NAT van pakketten die oorspronkelijk uit het interne net komen.

$IPT -A FORWARD -i $INT_IF -s $INT_NET -j ACCEPT
$IPT -A FORWARD -o $INT_IF -d $INT_NET -j ACCEPT

En deze laten het forwarden ueberhaupt toe. Het lijkt me logisch dat je niet voor de hele wereld gaat forwarden :d

wat bedoel je met maskeren? de -m optie bij ipchains? en van met ipfwadm mfw forwarden? dan kan je gewoon net als alle andere rules een rule maken voor naar binnen en voor naar buiten.. je moet toch zowieso voor beide kanten op een aparte ipfwadm mfw regel hebben

ik gebruik nu de volgende regel:

ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ

als ik dit gewoon intyp doet ie het

zet ik het in een scriptje dan werkt het weer niet
:mad:

Zet de default policy op deny:

ipchains -P forward DENY

Forward voor het interne net:

ipchains -A forward -i ppp0 -s 192.168.0.0/24 -j MASQ

Waarbij ppp0 de externe interface is.

Zorg dat de kernel aan forwarding doet:

echo 1 > /proc/sys/net/ipv4/ip_forward

[edit]
Geef in een script de volledige path op. Dus bijv. /sbin/ipchains in plaats van ipchains. Wedden dat die het dan wel doet? ;)

dank je wel maar me videokaart is zojuist overleden en via telnet kan je niet inloggen als root
en voor die oude bak ga ik ook geen nieuwe videokaart halen aangezien als alles geinstalled is die er weer uitgaat

Dan log je in als user en doe je 'su' naar root? :confused:

SU??

hmmmmz ik zal even de manpages raadplegen daarover :)
bedankt

[edit]
ok ik snap het
ik ga het verder proberen
bedankt :)
[/edit]

Staat voor 'switch user' .. basiskennis :p

mijn basiskennis reikt niet verder dan 2x die handleiding te hebben doorgelezen :)

ik bne met heel veel tegelijk bezig dus dan slipt zoiets ertussendoor

hoe heb je die regel dan in hemelsnaam in je opstartscript kunnen zetten... heb je van tevoren chmod -r 777 /* gedaan ofzo omdat je wist dat je videokaart zou crashen?

telnetserver het uur ervoor geinstalleerd en draaiend gekregen met videokaart intact

ipchains werkt nog steeds niet automatisch ook al staat er /sbin voor

ten tweede heb ik nu de shares van samba ingesteld maar ik kan op mijn client mijn server niet in het netwerk vinden

ze hebben dezelfde workgroupp en eerste 2 ip nr 's

iemand een idee??

grtz
JJ

huh en je firewall script werkt wel vanaf de command line? weet je zeker dat hij wel wordt gestart bij het opstarten van linux?

Doe eens: 'whereis ipchains'

Kan met de OS Level setting te maken hebben. Daarnaast zou je ff het volgende kunnen doen vanuit een client:

1) De fysieke connectie testen

Kun je de server pingen?

Doe 'ping ip_adres_van_server'

2) Kun je de SAMBA deamon aanspreken?

Doe 'nbtstat -A ip_adres_van_server' als je Windows gebruikt. En anders: 'nmblookup -A ip_adres_van_server' :)

Als dit niet werkt, terwijl de smb- en nmb-deamons actief zijn op de server, heb je meestal een probleem met de authorisatie. Check ff de regel 'hosts allow' in smb.conf.

Daarnaast zou je in /etc/hosts de client kunnen toevoegen met zijn NetBIOS naam.

3) Encryptie en dergelijke

Check hiervoor mijn Samba-HOWTO:

http://********.tsd-webservices.nl/tutorials/Samba.html

Succes.

ja hij werkt vanaf de command
het staat in /etc/ppp/ip-up.d/masq_on

dat zou toch moeten werken??

al geprobeerd
ipchains staat idd in sbin :)

staat op 20
zoals ie standaard staat.

jupz
ik kan er zelfs via internetten :)

host niet gevonden
ik heb via swat de hosts allow in alle shares en in globals op mijn ip gezet en hosts deny leeg gelaten

hoe werkt dat??
daar staat over ip6
ik zie geen line om iets toe te voegen wat logisch zou zijn

daar staan aantal algemene dingen die ik na het eten door zal lezen
alvast bedankt voor de moeite

Wordt het script ook geladen?

Maak eens een bestandje aan in /etc/rc2.d/ genaamd S20firewall met de volgende inhoud:

Maak hem daarna executable (chmod +x). Dan zou het moeten werken.

Dat is dus al kut. Zet hem hoger, bijv. op 65, zodat hij als server herkend wordt.

Eerst IP, dan naam. Bijvoorbeeld:

Op deze manier kunnen de requests geresolved worden.

Kijk goed naar de voorbeelden en ook de algemene configuratie. Met name het gedeelte over wachtwoorden moet je eens goed bekijken.

Suc6.

gedaan
werkt nog steeds niet
*schop*

allemaal done maar werkt nog steeds niet :)

maar ik merk nu dat ik het hele wau.nl netwerk ook niet kan bekijken. Op mijn eerst account (zonder w8woord) zie ik een klein aantal mappen maar ben niet gemachtigd ze te bekijken op mijn andern (met w8woord) zie ik ook die mappen niet
tcp en ipx zijn geinstalleerd
ik draai geen firewall

(opmerking mijn pIII 933 128 mb ram kan geen 2 users aan (winXP) maar mijn p1 48 mb ram heeft geen enkele moeite met 8 users (linux :D)

als de usermap.txt niet goed is
wat zou ik dan zien in mijn winXP??

Bijzonder weinig ;)

Start je eigenlijk wel in runlevel 2? Check ff /etc/inittab.

Usermap en wachtwoorden moeten goed ingesteld zijn, anders werkt het natuurlijk niet. Overigens waren er problemen met XP als client dacht ik. Moet ik ff zoeken :)

[edit]
Hmm, zo direct niets bijzonders gevonden. Alleen dat het werkt als W2K, maar dat wist ik al. Wel schijnt het dat je meer zaken onder XP zelf moet instellen:

http://www.cae.wisc.edu/fsg/winxp/samba.html

Bij Windows 2000 staan die dingen meestal default aan. Ik weet niet hoe het precies bij XP zit, aangezien ik dat ***** systeem niet gebruik :p