firewall / schock des tages

[dan_f]

Hallo zusammen!

Bisher dachte ich immer mein FreeBSD-Router sei das nonplusultra in Sachen Sicherheit. Doch durch einen kleinen Vorfall war ich gezwungen mal meine Ports zu überwachen.
Der Client hinter dem Router behauptet, dass Port 137/138 UDP mäßig genutzt wird und Port 4661 TCP.
Ich muss gestehen meine Kentnisse in Sachen BSD-Firwall sind sehr gering, da mir leider die Zeit fehlt.
Hab nun aber mal zB in die rc.conf geschaut.
Da steht folgendes.

gateway_enable="YES"
hostname="dan.de"
ifconfig_rl1="inet 10.0.0.1 netmask 255.0.0.0 -arp up"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.128"
ipv6_enable="NO"
kern_securelevel_enable="NO"
linux_enable="YES"
moused_enable="YES"
nfs_reserved_port_only="YES"
sendmail_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
keymap="german.cp850"
firewall_enable="YES"
firewall_type="open"
ppp_enable="YES"
ppp_nat="YES"
ppp_mode="ddial"
ppp_profile="default"
natd_enable="NO"
portmap_enable="YES"

Was ich täglich benutze ist http, ftp, email, messanger,...
Den Rest sollte es sperren.

Kann mir jemand bißchen auf die Sprünge helfen?
Hab ich generell was falsch eingestellt?

 

[Aleister]

Hi,

Port 137/138 sind die Windows Ports und Port 4661 wird vom Filesharingtool eDonkey genutzt. Was läuft denn bei Dir im Netz, denn dazu hast Du nichts geschrieben.

P.S.: Eine Firewall ist kein Stück Software sondern ein Konzept.

 

[Miggo]

Firewall_type=open heisst, dass du praktisch keinen Paketfilter hast, sondern alles durchgelassen wird.
http://www.freebsd-howto.com/HOWTO/Ipfw-HOWTO
Das solltest du dir vielleicht mal durchlesen und dir dann dein eigenes Regelwerk zusammenbauen.
edit: Weshalb hast du eigentlich überhaupt firewall_type auf open gesetzt, wenn der Rechner als Paketfilter dienen soll?

 

[dan_f]

Eine Firewall ist kein Stück Software sondern ein Konzept.
Ist mir bewußt.

Was läuft denn bei Dir im Netz, denn dazu hast Du nichts geschrieben.
eMule hab ich schon mal auf meinem Rechner gesehen. *g*
Trotzalledem...eMule ist AUS und es besteht trotzdem TCP Traffic auf Port 4661.

Weshalb hast du eigentlich überhaupt firewall_type auf open gesetzt, wenn der Rechner als Paketfilter dienen soll?

Wo du recht hast, hast du recht.

http://www.freebsd-howto.com/HOWTO/Ipfw-HOWTO
Ist leider down atm.
Das Problem welche ich jetzt schon sehe ist, dass ich es nicht verstehe und ich zum erlernen des Know-Hows zuviel Zeit brauche.

Muss man dann sämtliche Ports manuell freigeben?
Messanger haben unterschiedliche.
Multiplayer-Spiele hat auch jedes einen anderen Port.
Das ist ja sehr viel Arbeit.....

 

[Maledictus]

auf den muli ports ist eigentlich immer traffic, egal ob man einen benutzt oder nicht, dank an die dynamische IP vergabe der provider. (und wenn du muli kurz vorher an hattest ist das auch ein grund)

warum willst du denn überhaupt eine Firewall?
wenn du hinter nem nat hängst sollte sowieso nicht soviel bei dir ankommen.

 

[Elessar]

Oder man bekommt ne IP die vorher einer hatte der seit 16h oder so in ner Queue landet. EMule is in der Hinsicht die groesste Landlage wo gibt.

 

[Aleister]

Das Problem welche ich jetzt schon sehe ist, dass ich es nicht verstehe und ich zum erlernen des Know-Hows zuviel Zeit brauche.

Hört sich an als wenn Du eine Klick & Run Lösung haben willst. Die gibt es nicht. So schlimm ist das auch nicht. Etwas einlesen und wenn man etwas nicht versteht nachfragen. Wissen ist noch nie vom Himmel gefallen. Du willst ja auch nur einen Schutz Deiner Privatsphäre und keine Firmenfirewall errichten. Selbst dann wäre es tödlich sich nicht einzulesen.

Muss man dann sämtliche Ports manuell freigeben?
Messanger haben unterschiedliche.
Multiplayer-Spiele hat auch jedes einen anderen Port.
Das ist ja sehr viel Arbeit.....

Nein ist es nicht. Sind doch immer nur ein paar Zeilen. Ausserdem ist logisch betrachtet die unixoide Vorgehensweise wesentlich zeitfreundlicher.

Windows = alles offen und es muss explizit geschlossen werden.
Unixoid = alles dicht und es muss explizit geöffnet werden.

Ein cat /etc/services zeigt Dir fürs erste welche Ports so generell benutzt werden. Daran siehst Du das der unixoide Weg = "intelligent faul" ist.

 

[dan_f]

Ok, erstmal vielen Dank für eure bisherige Hilfe.

Soll ich also...
firewall_type="close"
natd_enable="Yes"

und dann irgendwo fw-rules erstellen?!

Leider ist ja die How-To Seite down. Habt ihr vielleicht noch eine (dt. sprachige) Seite auf Lager?

 

[Aleister]

Hi,

diese Quellen dürften für den Anfang schon mal ganz gut sein.

http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/firewalls.html
http://www.bsdforen.de/forums/showthread.php?threadid=148
http://www.bsdforen.de/forums/showthread.php?threadid=1239

 

[Miggo]

Zum Anfang tut es auch dieses simple Konfiguration:
add 1000 check-state
add 2000 allow all from any to any via lo0
add 3000 allow icmp from any to any
add 4000 allow udp from any to any out via tun0 keep-state
add 5000 allow tcp from any to any out via tun0 setup keep-state
add 6000 reset tcp from any to any via tun0
add 7000 unreach 3 udp from any to any via tun0

Die speicherst zu z.B. als /etc/rc.firewall.rules ab, setzt den Eigentümer auf Root und die Rechte auf 0600 und schreibst in die rc.conf:
firewall_enable="YES"
firewall_type="/etc/rc.firewall.rules"
Allerdings liest man sich sehr schnell in ipfw ein wenn man schon eine rudimentäre Ahnung von Netzen hat.
In obigem Skript musst du nur noch eine Zeile einfügen, die den Netzverkehr von deinem Rechner zum internen Interface des Routers erlaubt.
also z.B.:
add 2500 allow all from $IP_Deines_Rechners to $interne_IP_des_Routers via $internes_Interface_des_Routers

 

[MrFixit]

Handbuch und man-pages sind auf deinem System vorhanden, ja?

 

[dan_f]

MrFixit....bisher haben mir alle geduldig Tips gegeben.
Dein Kommentar ist/war absolut überflüssig.
Bitte - danke!

 

[asg]

Nun, der Verweis auf das Handbuch (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html) ist doch gar nicht so schlecht gewesen.
Auch die man page (man ipfw) ist nicht zu verachten.