[linux-l] Fedora3 Firewall

Olaf Radicke olaf_rad at gmx.de
So Nov 13 15:26:11 CET 2005 

Hi!

Ich wollte auf einer fedora 3 alle Ports bis auf 22,25,53,80,443 zu machen. 
Dazu habe ich system-config-securitylevel benutzt (was unter Fedora 4 auch 
wunderbar funksonuckelt). Die Einstellungen zeigen aber überhaupt keine 
Wirkung. Ein Scan mit nmap zeigt, das die Kiste weiter offen wie ein 
Scheunentor ist.

Ich habe schon im Internet verzweifelt nach Docus gesucht über Fedora +
system-config-securitylevel aber nichts gefunden. 

Auch die Üblichen Kandidaten (man, -h, --help, info, apropos) bringen NULL.
Logs schreibt das Teil scheinbar auch nicht. 

Ich habe keine Idee wo ich ansetzen kann. 

Zwischenzeitlich habe ich auch schon etliche Stunden mit dem Thema iptables 
zugebracht. Ich habe versucht mit Hilfe von iptables-save/-restore die Regeln 
von einer Fedora 4 zu der Fedora3-Kiste zu übertragen. Ging nicht. 
iptables-restore meldet ein Fehler in der letzten Zeile. Die Fedora-4 frisst 
ihre eigene iptables-save-Ausgabe aber anstandslos. Die Ausgabe der 
Fedora3-Kiste von iptables-save sieht so aus:

# Generated by iptables-save v1.2.11 on Sun Nov 13 14:52:08 2005
*mangle
:PREROUTING ACCEPT [273:24212]
:INPUT ACCEPT [273:24212]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [229:84065]
:POSTROUTING ACCEPT [229:84065]
COMMIT
# Completed on Sun Nov 13 14:52:08 2005
# Generated by iptables-save v1.2.11 on Sun Nov 13 14:52:08 2005
*filter
:INPUT ACCEPT [274:24264]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [231:84425]
COMMIT
# Completed on Sun Nov 13 14:52:08 2005

Aus lauter Verzweiflung, habe ich mal versucht, die Regeln selber mit  
iptables rein zu hacken. Ist aber in einer Katastrophe geendet. Wenn ich das 
über Netzwerk gemacht hätte, hätte ich mich jetzt ausgesperrt. Also das pur 
mit iptables rein zu hacken, halte ich mit meinem Können für aussichtslos. 

<EINSCHUB>
In den Dokus die ich zu iptables stand, das alle Regeln sofort vom Kernel 
angewendet wird. Später wird dann empfohlen mit "ipatables -F" alles alten 
Regeln erstmal zu verwerfen und mit "ipatables -PINPUT DROP" alles zu 
verbieten um dann Schritt für Schritt nur das zu öffnen, was gebraucht wird. 
Das kam mir unlogisch vor. Wenn ich das über Netz gemacht hätte, währe beim 
zweiten Befehl Ende gewesen - mangels Zugriff.
</EINSCHUB>

Im der aktuellen "Linux-Magazin" wird auf Seite 54 das Tool FW-Bilder 
beschrieben. Klingt ja ganz interessant, aber ich werde aus den Artikel nicht 
schlau. Der Autor setzt wohl vorraus, das man die Howtos von iptables u.s.w. 
im Schlaf runterbeten kann. 

Gibt es nicht irgend ein Tool, womit man einfache   Firewall-Regeln erstellen 
kann ohne in die tiefsten Tiefen der Kernel-Hacks eintauchen zu müssen? Und 
was auch noch funktioniert?

MfG
Olaf Radicke

Mehr Informationen über die Mailingliste linux-l