Hetzner - DokuWiki

Security Firewall
K (link für tobias bauers generator angepasst)
(Grundsätzliches gestrichen - siehe Diskussion)
Zeile 1: Zeile 1:
 
[[Category:Dedizierte_Server]]
 
[[Category:Dedizierte_Server]]
='''Firewall'''=
+
='''Konfigurationshilfen'''=
=='''Grundsätzliches'''==
+
Beim Einsatz einer Firewall sollte man sich immer folgendes &uuml;berlegen: W&auml;re es nicht besser, unsichere oder nicht ben&ouml;tigte Dienste gar nicht erst zu starten, statt diese sp&auml;ter blocken zu m&uuml;ssen?<br>
+
<br>
+
Viele Dienste lassen sich auch in den Konfigurationsdateien auf die von au&szlig;en nicht zug&auml;ngliche Loopback-Netzwerkschnittstelle 127.0.0.1 begrenzen.<br>
+
<br>
+
=='''Konfigurationshilfen'''==
+
 
Falls eine Firewall trotz allem notwendig ist helfen folgende Links bei der Konfiguration:<br>
 
Falls eine Firewall trotz allem notwendig ist helfen folgende Links bei der Konfiguration:<br>
 
*ExarKun's IPTables Generator: http://linux.tobias-bauer.de/iptables.html
 
*ExarKun's IPTables Generator: http://linux.tobias-bauer.de/iptables.html
Zeile 12: Zeile 6:
 
* FireHOL, the iptables stateful packet filtering firewall builder: http://firehol.sourceforge.net/
 
* FireHOL, the iptables stateful packet filtering firewall builder: http://firehol.sourceforge.net/
 
<br>
 
<br>
=='''Tips und Tricks'''==
+
='''Tips und Tricks'''=
==='''Automatischer Fallback'''===
+
=='''Automatischer Fallback'''==
 
Um sich beim Aktivieren der Firewall mit fehlerhaften Einstellungen nicht auszusperren, empfiehlt sich ein "automatischer Fallback": ''(von Brain aus dem Forum)''
 
Um sich beim Aktivieren der Firewall mit fehlerhaften Einstellungen nicht auszusperren, empfiehlt sich ein "automatischer Fallback": ''(von Brain aus dem Forum)''
 
   ./firewall start&&sleep 60&&./firewall stop
 
   ./firewall start&&sleep 60&&./firewall stop
Zeile 27: Zeile 21:
 
Dies sichert die IP-Tables-Konfiguration und stellt die Originalkonfiguration nach 5 Minuten wieder her.<br>
 
Dies sichert die IP-Tables-Konfiguration und stellt die Originalkonfiguration nach 5 Minuten wieder her.<br>
 
<br>
 
<br>
==='''Sperren einer einzelnen "b&ouml;sen" IP-Adresse bzw. eines Netzblocks'''===
+
=='''Sperren einer einzelnen "b&ouml;sen" IP-Adresse bzw. eines Netzblocks'''==
 
per iptables-Filter l&auml;sst sich leicht eine einzelne IP-Adresse blocken: ''von Nick und Deltaflyer aus dem Forum''<br>
 
per iptables-Filter l&auml;sst sich leicht eine einzelne IP-Adresse blocken: ''von Nick und Deltaflyer aus dem Forum''<br>
 
   iptables -I INPUT -s ''b&ouml;se_IP'' -j DROP
 
   iptables -I INPUT -s ''b&ouml;se_IP'' -j DROP
Zeile 34: Zeile 28:
 
Das Blockieren macht bei dynamischen Einwahl-IP's des Angreifers/St&ouml;rers nat&uuml;rlich wenig Sinn.<br>
 
Das Blockieren macht bei dynamischen Einwahl-IP's des Angreifers/St&ouml;rers nat&uuml;rlich wenig Sinn.<br>
 
<br>
 
<br>
==='''Auflisten von IP-Adressen von SSH-Scans'''===
+
=='''Auflisten von IP-Adressen von SSH-Scans'''==
 
Wie man (bei Debian) herausbekommt, welche IPs es wie oft versucht haben, mit welchen Benutzernamen per ssh reinzukommen:
 
Wie man (bei Debian) herausbekommt, welche IPs es wie oft versucht haben, mit welchen Benutzernamen per ssh reinzukommen:
  

Version vom 2. Juni 2007, 11:16 Uhr

Inhaltsverzeichnis

Konfigurationshilfen

Falls eine Firewall trotz allem notwendig ist helfen folgende Links bei der Konfiguration:


Tips und Tricks

Automatischer Fallback

Um sich beim Aktivieren der Firewall mit fehlerhaften Einstellungen nicht auszusperren, empfiehlt sich ein "automatischer Fallback": (von Brain aus dem Forum)

  ./firewall start&&sleep 60&&./firewall stop

Dadurch wird die Firewall erstmal nur für 60 Sekunden gestartet und man kann das ganze mal testen.

Falls bereits eine IPTables-Konfiguration besteht: (von Fronti aus dem Forum)

  iptables-save > /tmp/savediptables

und dann mit

  at now + 5min
  iptables-restore < /tmp/savediptables
  
  <Strg>+<D>

Dies sichert die IP-Tables-Konfiguration und stellt die Originalkonfiguration nach 5 Minuten wieder her.

Sperren einer einzelnen "bösen" IP-Adresse bzw. eines Netzblocks

per iptables-Filter lässt sich leicht eine einzelne IP-Adresse blocken: von Nick und Deltaflyer aus dem Forum

  iptables -I INPUT -s böse_IP -j DROP

Es kann auch ein ganzer IP-Adressbereich geblockt werden, z.B.

  iptables -I INPUT -s 213.133.99.0/24 -j DROP

Das Blockieren macht bei dynamischen Einwahl-IP's des Angreifers/Störers natürlich wenig Sinn.

Auflisten von IP-Adressen von SSH-Scans

Wie man (bei Debian) herausbekommt, welche IPs es wie oft versucht haben, mit welchen Benutzernamen per ssh reinzukommen:

  #!/bin/bash
  # Erst mal das Datum wegschneiden, da dort zwei blanks sein koennen
  grep Illegal | cut -b8-99 >tmp1
  echo "Probierte Usernamen:"
  cat tmp1 | cut -d' ' -f6 | sort | uniq -c | sort -n
  echo "IPs:"
  cat tmp1 | cut -d' ' -f8 | sort | uniq -c | sort -n
  echo "Ende"

Die obigen Zeilen einfach in eine Datei schreiben ("checklogs"?) und mit chmod +x checklogs ausführbar machen. Dann die Logs drüberlaufen lassen:

  cat /var/log/auth.log | ./checklogs


© 2020. Hetzner Online GmbH. Alle Rechte vorbehalten.