Firewall mit erweiterter Sicherheit - Serverprogramme auf LAN beschraenken



  • Jonas OSDever schrieb:

    Wie funktioniert das jetzt genau mit der Firewall, bzw. wie sage ich was durch darf und was nicht?

    Standardmaeszig geht doch eh nix durch. Da musst du ueberhaupt nichts umstellen.

    Allerdings hab ich grad anscheinend Mist gebaut, da ich ins Firewallscript eingetragen habe, dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt) und mich scheinbar selber ausgesperrt habe. 😞
    Kann man das irgendwie geradebiegen?

    Ja, aber nicht via Netzwerk. Router neustarten, normalerweise sollten die iptables-Regeln nicht automatisch gesichert und wiederhergestellt werden.

    Ansonsten ueber eine serielle Konsole oae.



  • Neugestartet hab ich ihn schon... und leider wird das Firewallscript beim Start ausgefuerht.

    nman schrieb:

    Standardmaeszig geht doch eh nix durch. Da musst du ueberhaupt nichts umstellen.

    Aber beim ausfuehren von iptables -L meinte er bei INPUT u.a.:

    source anywhere dest anywhere prot all ACCEPT
    

    (genaue Formatierung kann ich gerade nicht angeben, weil ich ja keinen Zugriff mehr habe)

    nman schrieb:

    Ansonsten ueber eine serielle Konsole oae.

    Geht das dann ueber RS-232? Entsprechende Schnittstelle hab ich am Computer, aber wo soll ich das am Router rankoppeln?



  • Mit dem Shibby-Build hats jetzt geklappt. Die Einstellungen sind unveraendert uebernommen. Scheinbar war das Feature bei Toastman noch im Test... egal, Hauptsache es laeuft.

    Uff. Bin ich froh 🙂

    Neugestartet hab ich ihn schon... und leider wird das Firewallscript beim Start ausgefuerht.

    Was immer gehen sollte (auch mit so-gut-wie jedem anderen Router) ist ein "30/30/30 Reset":

    http://www.textingthefridge.com/2011/02/30-30-30-reset.html

    Der Reset-Button ist beim E3000 neben dem Power-Schalter, auch schön rot umrandet.

    Danach sollten *alle* Einstellungen weg (=auf Default) sein. Hoffentlich hast du da noch nicht all zu viel rumgeschraubt was du dann neu machen musst.

    Was iptables angeht, da brauchst du nix manuell in irgendwelche Skripte eintragen.
    Wie nman schon geschrieben hat: per Default blockiert der Router sowieso alle *eingehenden* Verbindungen - er könnte auch gar nicht wissen an welche IP er sie weiterleiten soll.

    D.h. man muss für jede eingehende Verbindung die erlaubt sein soll ein Port-Mapping machen. Und das geht recht komfortabel über die Web-Oberfläche.

    EDIT: waaaaaah, Edit Unfall ("Editieren" statt "Zitieren" erwischt)! Hab's aber glaub wieder 1:1 (oder fast) hingebracht - Browser History sei Dank.



  • Jonas OSDever schrieb:

    dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt)

    REJECT ist übrigens angenehmer zu debuggen als DROP, und auch für eventuelle User angenehmer, wenn mal ein Dienst nicht läuft. c-plusplus.net macht zum Beispiel auch REJECT auf allen Ports, wo nichts läuft, was es für mich als Nutzer viel angenehmer macht, https://c-plusplus.net/ auszuprobieren und unverzüglich festzustellen, dass das nicht funktioniert.



  • Christoph schrieb:

    Jonas OSDever schrieb:

    dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt)

    REJECT ist übrigens angenehmer zu debuggen als DROP, und auch für eventuelle User angenehmer, wenn mal ein Dienst nicht läuft. c-plusplus.net macht zum Beispiel auch REJECT auf allen Ports, wo nichts läuft, was es für mich als Nutzer viel angenehmer macht, https://c-plusplus.net/ auszuprobieren und unverzüglich festzustellen, dass das nicht funktioniert.

    Hm.
    Also ich bin bei Reject etwas skeptisch.
    Damit verkündet man doch nur lauthals dass hier ein Rechner läuft, und bittet quasi darum in diverse "hier scannen wir mal öfter, vielleicht geht mal ein Port auf" Listen aufgenommen zu werden.

    Bei öffentlichen Servern wird das egal sein, weil die sowieso schon unter Beschuss sind, bzw. sowieso Ports ganz offen haben müssen - dann macht's schon keinen Unterschied mehr ob die anderen auf Reject laufen oder auf Drop.

    Bei privaten Netzwerken die nichts bzw. bloss den einen oder anderen vereinzelten High-Port offen haben würde ich persönlich aber immer Drop lassen.



  • hustbaer schrieb:

    Also ich bin bei Reject etwas skeptisch.
    Damit verkündet man doch nur lauthals dass hier ein Rechner läuft, und bittet quasi darum in diverse "hier scannen wir mal öfter, vielleicht geht mal ein Port auf" Listen aufgenommen zu werden.

    Das macht man sowieso. Wenn kein Rechner laufen würde, würde nämlich der vorhergehende Hop (also der beim Provider) "host unreachable" zurückschicken. Wenn gar keine Antwort kommt, ist klar, dass da ein Host läuft, der sich totstellt.

    Solche Scanner scannen eh so viele Hosts und so viele Ports parallel, denen sind timeouts völlig egal. Keine Antwort heißt einfach "da ist ein PC, der stellt sich tot", was genauso gut ist wie "da ist ein PC, der meine Anfragen abweist".

    Deswegen ist meine Erfahrung, dass man sich mit drop nur selber in den Fuß schießt.



  • Puh, endlich laeuft das Ding wieder. Der 30/30/30-Reset hat geholfen.
    Musste zwar einiges wieder hinfrickeln, aber in Anbetracht der Tatsache, dass ich schonmal die AD Datenbank zerstoert hattte, den Server per Registry runterstufen durfte, weil der normale Weg nicht ging, und dann die GPOs neueinstellen durfte, schockt mich kein Einstellungsverlust mehr.

    Aktuell lasse ich die Einstellung vorerst mal auf DROP, da ich keine Dienste anbiete. Sollte ich aber wirklich irgendwann mal Dienste laufen lassen, die nicht nur lokal einsetzbar sein sollen, werde ich das aendern. Aber fuer heute hab ich wirklich keine Lust mehr nochmal an der Firewall rumzufummeln. Da kann man zu viel kaputt machen 😉



  • hustbaer schrieb:

    D.h. man muss für jede eingehende Verbindung die erlaubt sein soll ein Port-Mapping machen. Und das geht recht komfortabel über die Web-Oberfläche.

    Achja, vergessen...

    Ich glaube mich zu erinnern dass bei Tomato per Default UPnP aktiv ist. D.h. die PCs hinter dem Router können den Router "schön" per UPnP "aufmachen".

    Muss jeder selber wissen ob er möchte dass das geht. Man muss dann halt bei diversen Teilen ala Xbox, Skype etc. nix mehr umstellen damit die funktionieren. Dafür kann halt auch jedes Ding (ob nun erwünscht oder auch nicht) einen Port über UPnP freischalten. Ich persönlich drehe es immer ab.

    ps: freut mich dass es jetzt klappt. Immer doof wenn man was empfiehlt und das geht dann nicht 🙂



  • Bei mir ist es anscheinend standardmaessig deaktiviert: http://imageshack.us/photo/my-images/842/tomatoi.png/

    Wie auch immer, zum zweiten mal grosses DANKE an dich und die anderen



  • Jonas OSDever schrieb:

    Bei mir ist es anscheinend standardmaessig deaktiviert: http://imageshack.us/photo/my-images/842/tomatoi.png/

    Aaaaah, braver shibby 🙂

    Wie auch immer, zum zweiten mal grosses DANKE an dich und die anderen

    Gerne 🙂


Anmelden zum Antworten