FreeBSD "noch mehr" absichern...

daiv

daiv

AgainstAllAuthority
Hi!

Habe eine Frage zu meiner Firewallkonfig.

Ich habe diese Zeile in der Konfig stehen:
ipfw add allow log tcp from any to any 22 setup
Zum Vergrößern anklicken....
jetzt wollte ich wissen, wenn ich das lösche, komme ich dann nicht mehr auf den Rechner, oder komme ich dann nur nicht mehr aus dem Internet auf den Rechner, ausm lokalen Netz schon?

Bzw. wie kann ich es machen, dass der Port 22 nur über das Netzwerk zugänglich ist?

Vielen Dank!
 
müsste ich dann trotzdem den port offen lassen?

und wie mache ich das am besten dass es nur auf dem internen interface läuft?

danke
 
> jetzt wollte ich wissen, wenn ich das lösche, komme ich dann nicht mehr auf den Rechner, oder komme
> ich dann nur nicht mehr aus dem Internet auf den Rechner, ausm lokalen Netz schon?

Kommt drauf an[tm]. Ohne das komplette Regelset kann man nur raten.

> Bzw. wie kann ich es machen, dass der Port 22 nur über das Netzwerk zugänglich ist?

Ich nehme an, du gehst über einen Router (NAT) ins I-Net!? Ohne Portforwarding kann man eh nicht
auf Rechner im lokalen Netz aus einem Anderen zugreifen.
man ipfw(8) && http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/firewalls.html sollte helfen.
 
> und wie mache ich das am besten dass es nur auf dem internen interface läuft?

,----[ man sshd_config ]
|
| ListenAddress
| Specifies the local addresses sshd should listen on. The follow-
| ing forms may be used:
|
| ListenAddress host|IPv4_addr|IPv6_addr
| ListenAddress host|IPv4_addr:port
| ListenAddress [host|IPv6_addr]:port
|
| If port is not specified, sshd will listen on the address and all
| prior Port options specified. The default is to listen on all
| local addresses. Multiple ListenAddress options are permitted.
| Additionally, any Port options must precede this option for non
| port qualified addresses.
`----
 
Elessar: meinte ich auch. habe keinen router davor. man kann praktisch direkt mit der externen ip auf den rechner über ssh connecten.
 
- was willst vor dem nat gateway mit nem weiteren router? nochmal nat fahren oder hast du mehr als 1 ip?
- wo is das problem mit dem sshd? entweder starte ihn nur intern oder denk dir n anständiges passwort aus.... es soll auch sowas wie public-key-auth geben btw...
 
ich hab doch keinen router und will auch keinen. also zumindest keinen außer der kiste selbst ;)
ich wollte das teil nur ausm internen netz konfigurieren können und von außen sollte keiner drauf gehen können.
das meinte ich nur. naja passwort ist meiner meinung nach eh gut. dachte nur das wäre eine zusätzliche sicherheit.

aber trotzdem danke
 
an unlink:

naja dachte das lässt sich in einem satz sagen. wollte ja wissen was passiert wenn ich diese zeile entferne. aber egal. ich arbeite mich da mal rein.

ja ich kenne w3.org vielen dank für den hinweis. nett dass du mal die seite besichtigt hast!
 
Du kannst in einer IPFW-Regel das Interface angeben, über das die Daten gehen. Also z. B.
Code: 
ipfw add allow log tcp from any to any 22 via fxp0
wobei "fxp0" das gewünschte Netzwerk-Interface ist. Nun werden nur TCP-Pakete, die über "fxp0" laufen und als Zielport 22 haben, erlaubt.

Auch könntest du den Verbindungsaufbau auf bestimmte Rechner beschränken, indem du nicht "any", sondern die IP-Adresse(n) angibst.

Als finalen Schritt bindest du den SSHD dann noch an das gewünschte Interface, einfach mittels "ListenAddress", wie unlink das schon erklärt hat.

Es ist immer sicherer, wenn man mehr als eine Maßnahme ergreift. Wenn man dann mal bei der IPFW- oder der SSH-Konfiguration einen Fehler macht, hat man nicht gleich die ganze Hütte offen, sondern noch einen zweiten Schutz.

Das mit den Public Keys ist natürlich auch eine interessante Möglichkeit, die ganze Angelegenheit ergänzend zu den vorherigen Maßnahmen noch sicherer zu machen.
 
genau das habe ich gesucht p.h.!!!

so kann ich das ganze etwas sicherer machen.

vielen dank!!!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben