Firewall für Desktop-Rechner

[nihonto]

Hallo Forum,

um meine Kiste abzusichern (reiner Desktop-Rechner, kein Server, kein Router), habe ich mal das HowTo von Grunix umgesetzt (http://www.bsdforen.de/forums/showthread.php?s=&threadid=148). Da ich ehrlich gestanden mit ziemlich wenig Ahnung von der Materie gesegnet bin, habe ich das fwrules-script einfach 1:1 übernommen. Das funktioniert soweit auch (bis auf den sperrangelweit offenen Port 25), aber meine DSL-Verbindung läuft deutlich langsamer und Mozilla braucht ewig, um zu starten .
Kann es sein, dass da Einträge drin sind, die ich für meinen Compi gar nicht brauche? Ich möchte einfach nur ins I-Net, Mails schicken und empfangen sowie natürlich Downloads durchführen (Ports etc.).

Brauche ich den natd wirklich? Und was sollen diese Einträge bewirken?:

# Erlaubt ausgehende DNS queries NUR auf die beiden angegebenen Server
ipfw add allow udp from any to 195.20.224.234 53 out xmit tun0
ipfw add allow udp from any to 194.25.2.129 53 out xmit tun0
ipfw add allow udp from any to 217.5.99.105 53 out xmit tun0

ipfw add allow tcp from any to 195.20.224.234 53 out xmit tun0
ipfw add allow tcp from any to 194.25.2.129 53 out xmit tun0
ipfw add allow tcp from any to 217.5.99.105 53 out xmit tun0

# Erlaubt die Antwort der DNS Nachfragen
ipfw add allow udp from 195.20.224.234 53 to any in recv tun0
ipfw add allow udp from 194.25.2.129 53 to any in recv tun0
ipfw add allow udp from 217.5.99.105 53 to any in recv tun0

ipfw add allow tcp from 217.5.99.105 53 to any in recv tun0
ipfw add allow tcp from 194.25.2.129 53 to any in recv tun0
ipfw add allow tcp from 217.5.99.105 53 to any in recv tun0

Sorry, aber ich blicke da wirklich kaum durch und habe zugegebenermaßen weder Zeit noch Lust, mich tagelang nur um dieses Problem zu kümmern.

Merci und viele Grüße!!!

 

[asg]

Bei den EInträgen vom DNS solltest Du die DNS Server Deines Providers eintragen, also tausch die IPs aus. Was steht denn in Deiner /etc/resolv.conf für IPs drin?

 

[nihonto]

Hi grunix,

danke für die schnelle Antwort!!! Werde mal sehen, welche DNS Server bei t-online zu finden sind. Hier meine resolv.conf:

nameserver 217.5.99.9
nameserver 194.25.2.129

Viele Grüße!

 

[asg]

Bei den obigen geposteten rules löschst Du jeweils eine Zeile der vier dreier-blocks. In den verbleibenden 4x2 Zeilen trägst Du dann die IPs ein die in Deiner /etc/resolv.conf stehen:

pfw add allow udp from any to 217.5.99.9 53 out xmit tun0
ipfw add allow udp from any to 194.25.2.129 53 out xmit tun0

Analog zu den anderen rules das gleiche.

 

[nihonto]

Klasse, das hat prima geholfen - dicken Dank !
Geschwindigkeit stimmt wieder. Jetzt frage ich mich nur noch, warum Port 25 offen ist. Ich weiß, dass darüber die Mails versandt werden (SMTP), aber gerade deswegen könnte der doch von außen nach innen geschlossen werden, oder?

 

[marzl]

huhu,

einen offenen port 25 brauchste nur, wenn du einen email-server
laufen lässt, bzw, wenn an dich direkt emails gesendet werden sollen.
für den normalen hausgebrauch kannste den auch zumachen.
weil versenden kannste ja dann immer noch.

 

[nihonto]

Hi marzl,

dicken Dank für die Antwort! Port 25 ist zu, aber ich habe immer noch Fragen :

1. Wenn ich (etwa über grc.com) einen Portscan laufen lasse, werden mir fast alle Ports als "stealth" angezeigt (boooah). Die Ports Null und 113 werden aber als "closed" angezeigt; sie reagieren also, wenn sie angesprochen werden. Muss das?

2. Eine Frage an grunix: Was hat es mit den DNS-Einträgen der natd.conf aus Deinem Howto auf sich?

Die hier meine ich:

redirect_port tcp 192.168.0.203:80 80
redirect_port udp 192.168.0.203:80 80
redirect_port tcp 192.168.0.202:22 22
redirect_port udp 192.168.0.202:22 22
redirect_port tcp 192.168.0.203:21 21
redirect_port udp 192.168.0.203:21 21

Ich sehe, dass es um den HTTP-Port (80), den SSH-Port (22) und den FTP-Port (21) geht. Ich habe hier aber kein LAN, für das irgendwelche Verbindungen um- oder weitergeleitet werden müssen. Brauche ich den natd für einen Desktop-Rechner ohne Router, LAN oder Server überhaupt?

Viele Grüße!!!

 

[Miggo]

Original geschrieben von nihonto
1. Wenn ich (etwa über grc.com) einen Portscan laufen lasse, werden mir fast alle Ports als "stealth" angezeigt (boooah). Die Ports Null und 113 werden aber als "closed" angezeigt; sie reagieren also, wenn sie angesprochen werden. Muss das?

Eigentlich ist dieses "closed" das regelkonforme Verhalten und "stealth" eine glatte Lüge. Das stealth rührt einfach daher, dass dein Rechner ankommende Pakete einfach verwirft, ohne darauf ordnungsgemäss zu antworten. Ich würde also eher einen reset (tcp) bzw. port unreachable (udp) einem deny vorziehen.
So sieht z.B. meine ipfw-Konfiguration aus: (ebenfalls reines Desktop-System)
01000 check-state
01500 allow icmp from any to any
02000 allow udp from any to any out via tun0 keep-state
03000 allow tcp from any to any out via tun0 setup keep-state
05000 reset tcp from 127.0.0.0/8 to any in via tun0
06000 reset tcp from 172.16.0.0/12 to any in via tun0
07000 reset tcp from 192.168.0.0/16 to any in via tun0
08000 reset tcp from any to any via tun0
09000 unreach port udp from any to any via tun0
10000 allow ip from any to any via lo0
65535 deny ip from any to any

 

[asg]

Original geschrieben von nihonto

2. Eine Frage an grunix: Was hat es mit den DNS-Einträgen der natd.conf aus Deinem Howto auf sich?
Die hier meine ich:

redirect_port tcp 192.168.0.203:80 80
redirect_port udp 192.168.0.203:80 80
redirect_port tcp 192.168.0.202:22 22
redirect_port udp 192.168.0.202:22 22
redirect_port tcp 192.168.0.203:21 21
redirect_port udp 192.168.0.203:21 21

Das sind keine DNS Einträge ;-).
Das sind redirects der Ports vom Router auf eine interne IP und dessen Port.
Also Port 80 des routers, der externen IP, wird auf die interne IP 192.168.0.203 und dort den Port 80 umgeleitet.
Dahinter können sich andere Rechner verstecken die eben einen httpd Service anbieten, oder wie in meinem Fall, eine Jail (man jail).

In Deinem Fall ist es evtl. interessant die Ports von donkey, kazaa,... von deinem Router auf die interne IP Deiner workstation zu forwarden.

 

[nihonto]

Ööööh, ich hab' aber keinen Router

 

[asg]

Arrgh, stimmt, das sollte ja für nen Desktop Rechner sein. Vergiss es einfach was ich zum Thema Router geschrieben habe ;-)

 

[nihonto]

No problem;-)!

Kann ich dann den natd abschalten? Da ich weder Lan noch Router laufen habe, brauche ich das doch nicht, oder?

Sorry, wenn die Fragen etwas begriffsstutzig klingen, aber ich musste mich noch nie so 'en detail' mit der Materie auseinandersetzen.

 

[asg]

Gebe keine NATD rules an. divert auf den ipfw rules rausnehmen.