[linux-l] Fedora3 Firewall
Olaf Radicke
olaf_rad at gmx.de
So Nov 13 15:26:11 CET 2005
Hi!
Ich wollte auf einer fedora 3 alle Ports bis auf 22,25,53,80,443 zu machen.
Dazu habe ich system-config-securitylevel benutzt (was unter Fedora 4 auch
wunderbar funksonuckelt). Die Einstellungen zeigen aber überhaupt keine
Wirkung. Ein Scan mit nmap zeigt, das die Kiste weiter offen wie ein
Scheunentor ist.
Ich habe schon im Internet verzweifelt nach Docus gesucht über Fedora +
system-config-securitylevel aber nichts gefunden.
Auch die Üblichen Kandidaten (man, -h, --help, info, apropos) bringen NULL.
Logs schreibt das Teil scheinbar auch nicht.
Ich habe keine Idee wo ich ansetzen kann.
Zwischenzeitlich habe ich auch schon etliche Stunden mit dem Thema iptables
zugebracht. Ich habe versucht mit Hilfe von iptables-save/-restore die Regeln
von einer Fedora 4 zu der Fedora3-Kiste zu übertragen. Ging nicht.
iptables-restore meldet ein Fehler in der letzten Zeile. Die Fedora-4 frisst
ihre eigene iptables-save-Ausgabe aber anstandslos. Die Ausgabe der
Fedora3-Kiste von iptables-save sieht so aus:
# Generated by iptables-save v1.2.11 on Sun Nov 13 14:52:08 2005
*mangle
:PREROUTING ACCEPT [273:24212]
:INPUT ACCEPT [273:24212]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [229:84065]
:POSTROUTING ACCEPT [229:84065]
COMMIT
# Completed on Sun Nov 13 14:52:08 2005
# Generated by iptables-save v1.2.11 on Sun Nov 13 14:52:08 2005
*filter
:INPUT ACCEPT [274:24264]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [231:84425]
COMMIT
# Completed on Sun Nov 13 14:52:08 2005
Aus lauter Verzweiflung, habe ich mal versucht, die Regeln selber mit
iptables rein zu hacken. Ist aber in einer Katastrophe geendet. Wenn ich das
über Netzwerk gemacht hätte, hätte ich mich jetzt ausgesperrt. Also das pur
mit iptables rein zu hacken, halte ich mit meinem Können für aussichtslos.
<EINSCHUB>
In den Dokus die ich zu iptables stand, das alle Regeln sofort vom Kernel
angewendet wird. Später wird dann empfohlen mit "ipatables -F" alles alten
Regeln erstmal zu verwerfen und mit "ipatables -PINPUT DROP" alles zu
verbieten um dann Schritt für Schritt nur das zu öffnen, was gebraucht wird.
Das kam mir unlogisch vor. Wenn ich das über Netz gemacht hätte, währe beim
zweiten Befehl Ende gewesen - mangels Zugriff.
</EINSCHUB>
Im der aktuellen "Linux-Magazin" wird auf Seite 54 das Tool FW-Bilder
beschrieben. Klingt ja ganz interessant, aber ich werde aus den Artikel nicht
schlau. Der Autor setzt wohl vorraus, das man die Howtos von iptables u.s.w.
im Schlaf runterbeten kann.
Gibt es nicht irgend ein Tool, womit man einfache Firewall-Regeln erstellen
kann ohne in die tiefsten Tiefen der Kernel-Hacks eintauchen zu müssen? Und
was auch noch funktioniert?
MfG
Olaf Radicke
Mehr Informationen über die Mailingliste linux-l