Firewall Raspbian Stretch - IPTables

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Btw, ich bin seit Wochen damit beschäftigt, einen Artikel über Firewalls zu schreiben... in meiner gewohnt umfangreichen Schreibweise, die sich nicht nur technisch, sondern eben auch umfassend mit relevanten Rahmenbedingungen befasst, damit man das überhaupt auf sein eigenes Umfeld projizieren kann. Wenn ich darf, würde ich das hier im diesem Forum zuerst posten. Das ist dann auch gleich wieder der weckruf an die, die es wegen der Länge eh nicht lesen, aber es trotzdem inhaltlich zerreißen. *lol*

  • @ThomasL:

    Du schriebst:

    > und zwar rigoros alle auf 0.0.0.0. lauschenden Dienste auf localhost zu begrenzen.

    würde das bedeuten ich muss alle Dienste in der Rubrik "Aktive Internetverbindungen (ohne Server) ändern die ich begrenzen will oder auch die in der UNIX-Domäne?

  • @ThomasL:

    > Das ist dann auch gleich wieder der weckruf an die, die es wegen der Länge eh nicht lesen, aber es trotzdem inhaltlich zerreißen. *lol*

    Vielleicht liegt das an deiner etwas provozierenden Schreibweise ;)

    Ich für meinen Teil würde mich über deinen Artikel freuen!

  • Meine Vorstellung war, da ich auf 3 Ports aus dem externen Netz Daten empfange und nur vordefinierte IP-Adressen erwarte, jegliche anderen IP Adressen zu blocken und Ports zu schließen.

    Für wen und mit welchem IP-Stack ist der pi ausserhalb des lan's sichtbar? Findet ein NAT nach draussen ins Internet statt? Sind im Router Ports geöffnet und traffic ist auf den pi geforwarded? um welche IP-Stacks geht es, IPv4? Oder auch IPv6? Wenn IPv6 , sind es ULA-Adresden oder GUA? Gibt es aufs/zum Internet lauschende Dienste?

    Das sind alles relevante Fragen, die festlegen, ob der Paketfilter nachher überhaupt wirkt.

  • Vielleicht noch zu meinem Schwerpunkt, ich komme aus dem Elektronik-Bereich und habe bis jetzt mehr auf Controller programmiert/gearbeitet.

    Ich versuch das mal zu Beantworten:

    - Es geht um den IP-Stack IPv4

    - Als Testsystem habe ich ist keine Internetverbindung vorgesehen. Im späteren Netzwerk ist zum WWW eine Firewall vorhanden.

    - Von der Firewall ins WWW ist sicherlich eine NAT vorhanden (bin mir aber nicht sicher, ist nicht Bestandteil der Aufgabe).

  • Btw, ich bin seit Wochen damit beschäftigt, einen Artikel über Firewalls zu schreiben... in meiner gewohnt umfangreichen Schreibweise, die sich nicht nur technisch, sondern eben auch umfassend mit relevanten Rahmenbedingungen befasst, damit man das überhaupt auf sein eigenes Umfeld projizieren kann. Wenn ich darf, würde ich das hier im diesem Forum zuerst posten. Das ist dann auch gleich wieder der weckruf an die, die es wegen der Länge eh nicht lesen, aber es trotzdem inhaltlich zerreißen. *lol*

    Darüber würde ich persönlich mich extrem freuen!

  • ja, was stellst du denn dort mit welchen Zweck ein, was nicht sowieso schon dein dsl-router handhabt? Kannst du mir das erklären? Zeig mir den Unterschied dazu, wenn die ufw nicht installiert wäre. Du gibst frei, was sowieso frei ist und frei sein muss. Du machst nix anderes, als auf die Ports 22, 80 und 443 ne Zettel zu kleben "Hab ich erlaubt" .... na toll, wenn dich sowas schon beruhigt. Nur ist es so, dass die auch gleichermaßen ohne Zettel funktionieren, der Zettel hat null Wirkung.

    Und der Kracher ist, diese Einstellung gelten noch nicht mal da, wo sie wirklich wichtig wären , und zwar am Router.... aber genau der weiss das von sich aus... der hat nämlich die wirklich wichtige FW schon lange aktiviert.

    oh verdammt. Ich hatte vergessen zu erwähnen das ich das ganze bei einem vServer im Netz so mache auf dem ich Root Zugriff habe. Ist natürlich richtig was du schreibst !

  • Ich hatte vergessen zu erwähnen das ich das ganze bei einem vServer im Netz so mache auf dem ich Root Zugriff habe.

    Das ist ja auch eine völlig andere Hausnummer... niemals würde ich dabei eine Firewall in Frage stellen. Ich weiss ja gar nicht, ob bei solchen Servern überhaupt NAT für IPv4 stattfindet, wie IPv6 gehandhabt wird, ob der ISP alle Ports forwardet und dabei sagt "...ist Sache der Dienste, das auf sichere Weise zu handhaben." Bei solchem Umständen halte ich eine Firewall resp. einen Paketfilter sogar für obligatorisch. Da gilt meine Kritik überhaupt nicht und wäre auch völlig unangebracht.

  • - Es geht um den IP-Stack IPv4

    Dann solltest Du wissen, dass die IP Deines PI sowieso nicht im WEB sichtbar ist, auch ohne lokale Firewall. Der PI versteckt sich hinter dem NAT.... und NAT ist Sache Deines DSL-Router, NAT ist keine Firewall.... hat aber durchaus auch eine firewall-artige Wirkung... sie versteckt halt in gewisser Weise den Client.

    Als Testsystem habe ich ist keine Internetverbindung vorgesehen. Im späteren Netzwerk ist zum WWW eine Firewall vorhanden.

    Ein zusätzliche Firewall zu der sowieso schon im DSL-Router vorhandenen und aktiven? Wozu brauchst Du dann noch eine auf dem PI?

    Von der Firewall ins WWW ist sicherlich eine NAT vorhanden

    Im Router ist das NAT für IPv4-Verbindungen ins Internet bereits vorhanden. Ein Paket-Filter-NAT braucht man an anderer Stelle, z.B. um ein Routing in andere Netze zu ermöglichen. Ich nutze das für meinen VPN-Traffic.

    Mir scheint das alles noch sehr konfus in der Planung zu sein.... ich wüsste an der Stelle wirklich nicht, wo bei Dir ein Filter auf welche Weise wirksam sein soll und vor welcher "Bedrohung" Du den PI schützen willst oder wie ich Dir zu irgendwas raten kann. Also, ums kurz zu sagen:

    Wenn der PI hinter einem DSL-Router läuft....

    Wenn der Router keine Ports auf den PI geforwardet hat....

    Wenn der PI keine im Internet lauschenden Dienste aktiv hat....

    Wenn der PI nur im lokalen Netzwerk sichtbar ist....

    ... brauchst Du im Moment meiner Meinung nach keinen Paketfilter.... der wäre völlig ohne Bedeutung, ohne Ergebnis, ohne jeglichen Sicherheitsgewinn

    Wenn Du feststellen willst, ob ein Paketfilter überhaupt sinnvoll ist, musst Du das liefern, was Framp schon sehr früh im Thread angefragt hat, und zwar genaue Infos über Hardware, Netzwerk, Server-Dienste auf dieser Maschine, Verbindungen, Erreichbarkeit, Ziele, usw. Ansonsten kannst Du irgendwas einrichten und dem Trugschluss glauben "ich habe ne Firewall, die wirds schon richten...."... was imho aber nicht viel mit der Realität zu tun hat.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!