[linux] firewall instellen

[JJzD]

heej

ik hbe nu eindelijk debian 3.0 aan de praat en wil hem nu als firewall gebruiken
alles forwarden en masken gaat wel maar dat is natuurlijk een flutfirewall

hoe kom ik er8er welke poorten mijn programma's op de client gebruiken zodat ik die kan forwarden op de server

[JJzD]

en ik had de vraag hoe ik terug kan vinden waar samba is geinstalleerd

dat is tijdens de installatie van debian gedaan en nu kan ik geen samba vinden op de locatie zoals die in de handleidingen staat

[Koen]

Firewall weet ik geen moer van, Samba is terug te vinden met 'updatedb' (als root) en daarna 'locate samba' of gewoon 'whereis samba'.

Citaat:

JJzD schreef:
ik hbe nu eindelijk debian 3.0 aan de praat en wil hem nu als firewall gebruiken
alles forwarden en masken gaat wel maar dat is natuurlijk een flutfirewall

Dat hoeft niet per sé. Als op de firewall zelf haast geen services draaien is deze veilig. Ik zou er alleen SSH op draaien en die dan beperken tot bepaalde hosts (interne net en hoogstens enkele externe adressen). Het komt namelijk nog wel eens voor dat ze een probleem met OpenSSH vinden.

Citaat:

hoe kom ik er8er welke poorten mijn programma's op de client gebruiken zodat ik die kan forwarden op de server

Zo nauwkeurig hoeft dat niet. Forward gewoon voor het interne net en blokkeer alles van buiten (behalve SSH, als je dat nodig hebt). Het is onnodig werk om regels te schrijven voor elke poort.

Citaat:

Koen schreef:
Firewall weet ik geen moer van, Samba is terug te vinden met 'updatedb' (als root) en daarna 'locate samba' of gewoon 'whereis samba'.

/etc/init.d/samba

Dit is het opstart-script:

/etc/init.d/samba stop

Stopt de smbd en nmbd deamons. Die je terug kunt vinden met:

whereis smbd
whereis nmbd

Met 'apt-get remove samba' zou je het pakket kunnen verwijderen.

[JJzD]

Citaat:

******** schreef:


Zo nauwkeurig hoeft dat niet. Forward gewoon voor het interne net en blokkeer alles van buiten (behalve SSH, als je dat nodig hebt). Het is onnodig werk om regels te schrijven voor elke poort.

ik maskeer dan is ie toch automatisch dat ie ook van buiten kan??

Citaat:

JJzD schreef:
ik maskeer dan is ie toch automatisch dat ie ook van buiten kan??

Onder alles forwarden versta ik 'alles forwarden dat van het interne net komt'.

$IPT -t nat -A POSTROUTING -o $PPP_IF -s $INT_NET -j MASQUERADE

Deze regel in mijn firewall-script zorgt bijv. voor NAT van pakketten die oorspronkelijk uit het interne net komen.

$IPT -A FORWARD -i $INT_IF -s $INT_NET -j ACCEPT
$IPT -A FORWARD -o $INT_IF -d $INT_NET -j ACCEPT

En deze laten het forwarden ueberhaupt toe. Het lijkt me logisch dat je niet voor de hele wereld gaat forwarden

[McMotion]

Citaat:

JJzD schreef:


ik maskeer dan is ie toch automatisch dat ie ook van buiten kan??

wat bedoel je met maskeren? de -m optie bij ipchains? en van met ipfwadm mfw forwarden? dan kan je gewoon net als alle andere rules een rule maken voor naar binnen en voor naar buiten.. je moet toch zowieso voor beide kanten op een aparte ipfwadm mfw regel hebben

[JJzD]

Citaat:

McMotion schreef:


wat bedoel je met maskeren? de -m optie bij ipchains? en van met ipfwadm mfw forwarden? dan kan je gewoon net als alle andere rules een rule maken voor naar binnen en voor naar buiten.. je moet toch zowieso voor beide kanten op een aparte ipfwadm mfw regel hebben

ik gebruik nu de volgende regel:

ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ

als ik dit gewoon intyp doet ie het

zet ik het in een scriptje dan werkt het weer niet

Zet de default policy op deny:

ipchains -P forward DENY

Forward voor het interne net:

ipchains -A forward -i ppp0 -s 192.168.0.0/24 -j MASQ

Waarbij ppp0 de externe interface is.

Zorg dat de kernel aan forwarding doet:

echo 1 > /proc/sys/net/ipv4/ip_forward

[edit]
Geef in een script de volledige path op. Dus bijv. /sbin/ipchains in plaats van ipchains. Wedden dat die het dan wel doet?

[JJzD]

Citaat:

******** schreef:
Zet de default policy op deny:

ipchains -P forward DENY

Forward voor het interne net:

ipchains -A forward -i ppp0 -s 192.168.0.0/24 -j MASQ

Waarbij ppp0 de externe interface is.

Zorg dat de kernel aan forwarding doet:

echo 1 > /proc/sys/net/ipv4/ip_forward

[edit]
Geef in een script de volledige path op. Dus bijv. /sbin/ipchains in plaats van ipchains. Wedden dat die het dan wel doet?

dank je wel maar me videokaart is zojuist overleden en via telnet kan je niet inloggen als root
en voor die oude bak ga ik ook geen nieuwe videokaart halen aangezien als alles geinstalled is die er weer uitgaat

Citaat:

JJzD schreef:
dank je wel maar me videokaart is zojuist overleden en via telnet kan je niet inloggen als root
en voor die oude bak ga ik ook geen nieuwe videokaart halen aangezien als alles geinstalled is die er weer uitgaat

Dan log je in als user en doe je 'su' naar root?

[JJzD]

Citaat:

******** schreef:
Dan log je in als user en doe je 'su' naar root?

SU??

hmmmmz ik zal even de manpages raadplegen daarover
bedankt

[edit]
ok ik snap het
ik ga het verder proberen
bedankt
[/edit]

Citaat:

JJzD schreef:
hmmmmz ik zal even de manpages raadplegen daarover
bedankt

Staat voor 'switch user' .. basiskennis

[JJzD]

Citaat:

******** schreef:
Staat voor 'switch user' .. basiskennis

mijn basiskennis reikt niet verder dan 2x die handleiding te hebben doorgelezen

ik bne met heel veel tegelijk bezig dus dan slipt zoiets ertussendoor

[McMotion]

Citaat:

JJzD schreef:
SU??

hoe heb je die regel dan in hemelsnaam in je opstartscript kunnen zetten... heb je van tevoren chmod -r 777 /* gedaan ofzo omdat je wist dat je videokaart zou crashen?

[JJzD]

Citaat:

McMotion schreef:


hoe heb je die regel dan in hemelsnaam in je opstartscript kunnen zetten... heb je van tevoren chmod -r 777 /* gedaan ofzo omdat je wist dat je videokaart zou crashen?

telnetserver het uur ervoor geinstalleerd en draaiend gekregen met videokaart intact

[JJzD]

ipchains werkt nog steeds niet automatisch ook al staat er /sbin voor

ten tweede heb ik nu de shares van samba ingesteld maar ik kan op mijn client mijn server niet in het netwerk vinden

ze hebben dezelfde workgroupp en eerste 2 ip nr 's

iemand een idee??

grtz
JJ

[McMotion]

huh en je firewall script werkt wel vanaf de command line? weet je zeker dat hij wel wordt gestart bij het opstarten van linux?

Citaat:

JJzD schreef:
ipchains werkt nog steeds niet automatisch ook al staat er /sbin voor

Doe eens: 'whereis ipchains'

Citaat:

ten tweede heb ik nu de shares van samba ingesteld maar ik kan op mijn client mijn server niet in het netwerk vinden.

Kan met de OS Level setting te maken hebben. Daarnaast zou je ff het volgende kunnen doen vanuit een client:

1) De fysieke connectie testen

Kun je de server pingen?

Doe 'ping ip_adres_van_server'

2) Kun je de SAMBA deamon aanspreken?

Doe 'nbtstat -A ip_adres_van_server' als je Windows gebruikt. En anders: 'nmblookup -A ip_adres_van_server'

Als dit niet werkt, terwijl de smb- en nmb-deamons actief zijn op de server, heb je meestal een probleem met de authorisatie. Check ff de regel 'hosts allow' in smb.conf.

Daarnaast zou je in /etc/hosts de client kunnen toevoegen met zijn NetBIOS naam.

3) Encryptie en dergelijke

Check hiervoor mijn Samba-HOWTO:

http://********.tsd-webservices.nl/tutorials/Samba.html

Succes.

[JJzD]

Citaat:

McMotion schreef:
huh en je firewall script werkt wel vanaf de command line? weet je zeker dat hij wel wordt gestart bij het opstarten van linux?

ja hij werkt vanaf de command
het staat in /etc/ppp/ip-up.d/masq_on

dat zou toch moeten werken??

[JJzD]

Citaat:

******** schreef:
Doe eens: 'whereis ipchains'

al geprobeerd
ipchains staat idd in sbin

Citaat:

Kan met de OS Level setting te maken hebben.

staat op 20
zoals ie standaard staat.

Citaat:

Daarnaast zou je ff het volgende kunnen doen vanuit een client:

1) De fysieke connectie testen

Kun je de server pingen?

Doe 'ping ip_adres_van_server'

jupz
ik kan er zelfs via internetten

Citaat:

2) Kun je de SAMBA deamon aanspreken?

Doe 'nbtstat -A ip_adres_van_server' als je Windows gebruikt. En anders: 'nmblookup -A ip_adres_van_server'

Als dit niet werkt, terwijl de smb- en nmb-deamons actief zijn op de server, heb je meestal een probleem met de authorisatie. Check ff de regel 'hosts allow' in smb.conf.

host niet gevonden
ik heb via swat de hosts allow in alle shares en in globals op mijn ip gezet en hosts deny leeg gelaten

Citaat:

Daarnaast zou je in /etc/hosts de client kunnen toevoegen met zijn NetBIOS naam.

hoe werkt dat??
daar staat over ip6
ik zie geen line om iets toe te voegen wat logisch zou zijn

Citaat:

3) Encryptie en dergelijke

Check hiervoor mijn Samba-HOWTO:

http://********.tsd-webservices.nl/tutorials/Samba.html

Succes.

daar staan aantal algemene dingen die ik na het eten door zal lezen
alvast bedankt voor de moeite

Citaat:

JJzD schreef:
al geprobeerd
ipchains staat idd in sbin

Wordt het script ook geladen?

Maak eens een bestandje aan in /etc/rc2.d/ genaamd S20firewall met de volgende inhoud:

Code:

#!/bin/sh

<< voeg hier fiewall regels toe >>

Maak hem daarna executable (chmod +x). Dan zou het moeten werken.

Citaat:

staat op 20
zoals ie standaard staat.

Dat is dus al kut. Zet hem hoger, bijv. op 65, zodat hij als server herkend wordt.

Citaat:

hoe werkt dat??
daar staat over ip6
ik zie geen line om iets toe te voegen wat logisch zou zijn

Eerst IP, dan naam. Bijvoorbeeld:

Code:

192.168.1.4            MASPC

Op deze manier kunnen de requests geresolved worden.

Citaat:

daar staan aantal algemene dingen die ik na het eten door zal lezen
alvast bedankt voor de moeite

Kijk goed naar de voorbeelden en ook de algemene configuratie. Met name het gedeelte over wachtwoorden moet je eens goed bekijken.

Suc6.

[JJzD]

Citaat:

******** schreef:
Wordt het script ook geladen?

Maak eens een bestandje aan in /etc/rc2.d/ genaamd S20firewall met de volgende inhoud:

Code:

#!/bin/sh

<< voeg hier fiewall regels toe >>

Maak hem daarna executable (chmod +x). Dan zou het moeten werken.

gedaan
werkt nog steeds niet
*schop*

Citaat:

Dat is dus al kut. Zet hem hoger, bijv. op 65, zodat hij als server herkend wordt.

Eerst IP, dan naam. Bijvoorbeeld:

Code:

192.168.1.4            MASPC

Op deze manier kunnen de requests geresolved worden.

Kijk goed naar de voorbeelden en ook de algemene configuratie. Met name het gedeelte over wachtwoorden moet je eens goed bekijken.

Suc6.

allemaal done maar werkt nog steeds niet

maar ik merk nu dat ik het hele wau.nl netwerk ook niet kan bekijken. Op mijn eerst account (zonder w8woord) zie ik een klein aantal mappen maar ben niet gemachtigd ze te bekijken op mijn andern (met w8woord) zie ik ook die mappen niet
tcp en ipx zijn geinstalleerd
ik draai geen firewall

(opmerking mijn pIII 933 128 mb ram kan geen 2 users aan (winXP) maar mijn p1 48 mb ram heeft geen enkele moeite met 8 users (linux )

[JJzD]

als de usermap.txt niet goed is
wat zou ik dan zien in mijn winXP??

Citaat:

JJzD schreef:
als de usermap.txt niet goed is
wat zou ik dan zien in mijn winXP??

Bijzonder weinig

Citaat:

JJzD schreef:
gedaan
werkt nog steeds niet
*schop*

Start je eigenlijk wel in runlevel 2? Check ff /etc/inittab.

Usermap en wachtwoorden moeten goed ingesteld zijn, anders werkt het natuurlijk niet. Overigens waren er problemen met XP als client dacht ik. Moet ik ff zoeken

[edit]
Hmm, zo direct niets bijzonders gevonden. Alleen dat het werkt als W2K, maar dat wist ik al. Wel schijnt het dat je meer zaken onder XP zelf moet instellen:

http://www.cae.wisc.edu/fsg/winxp/samba.html

Bij Windows 2000 staan die dingen meestal default aan. Ik weet niet hoe het precies bij XP zit, aangezien ik dat ***** systeem niet gebruik