Hoe bouw je een Linux firewall en router voor beginners
Voor mensen die net beginnen met Linux of nog wat oude hardware over hebben, en willen weten hoe ze deze spullen kunnen omtoveren in een router of firewall, geeft deze website allerlei handige tips en trucs. Ook worden er discussies over firewalls, anti-virus en andere security tools gevoerd. Let wel op, want tijdens het openen van de site kan er een Gain pop-up verschijnen.
Reacties (19)
Mwja, zelf ben ik meer voor de 30 euro router uit de winkel. Heeft in mijn
ogen een hoop voordelen boven de Linux router:
- is kleiner
- is stiller
- gebruikt minder stroom
- simpel op te zetten en te onderhouden
- kost tegenwoordig geen drol meer
Bovendien kan je dat oude linuxbakje dan gebruiken als internet pc.
ogen een hoop voordelen boven de Linux router:
- is kleiner
- is stiller
- gebruikt minder stroom
- simpel op te zetten en te onderhouden
- kost tegenwoordig geen drol meer
Bovendien kan je dat oude linuxbakje dan gebruiken als internet pc.
28-06-2004, 12:00 door
[Account Verwijderd]
[Verwijderd]
Tja, dat is misschien wel zo, alleen als je dezelfde
"server" ook gebruikt als centraal dataopslag voor de "word"
documentjes ofzo. Dan heeft het vaak direct meerwaarde. Zo
heb je dan ook geen last wan alle broadcasts van de
werkstation en de koppeling die deze onderling weer moeten
maken.
Ja voor 1 pc achter zo`n firewall is inderdaad een sweex
routertje ofzo beter(20EUR). Maar wanneer je toch met zijn
5-en erachter zit... tja... ga ik toch voor een servertje
met een leuke samba erop.
"server" ook gebruikt als centraal dataopslag voor de "word"
documentjes ofzo. Dan heeft het vaak direct meerwaarde. Zo
heb je dan ook geen last wan alle broadcasts van de
werkstation en de koppeling die deze onderling weer moeten
maken.
Ja voor 1 pc achter zo`n firewall is inderdaad een sweex
routertje ofzo beter(20EUR). Maar wanneer je toch met zijn
5-en erachter zit... tja... ga ik toch voor een servertje
met een leuke samba erop.
Door Anoniem
pop-up?..... owhnee ik gebruik Firefox :)
Hmmz.... volwassen hoor.....pop-up?..... owhnee ik gebruik Firefox :)
Anyhoe, als je een webserver oid wilt, ben ik nog steeds van mening dat je
je internet beter kan delen middels een goedkoop routertje met firewall. Als
je namelijk je webserver direct op het internet zet, kan men direct je server
bereiken. Met een router moeten ze eerst via een router / firewall waar
alleen poortje 80 gemapt staat.
28-06-2004, 12:30 door
[Account Verwijderd]
[Verwijderd]
Door Hugo
Nou en? Als je de firewall op je server goed configureerd,
maakt dat niks uit. En als er een exploit beschikbaar is
voor je webserver, dan maakt 't geen kont uit of dat eerst
via een router gaat of niet.
Tuurlijk wel. Het kan zijn dat je met een exploit de lokale firewall uit kan Nou en? Als je de firewall op je server goed configureerd,
maakt dat niks uit. En als er een exploit beschikbaar is
voor je webserver, dan maakt 't geen kont uit of dat eerst
via een router gaat of niet.
zetten. Dit kan niet als de firewall niet lokaal staat. Ook kan het zo zijn dat je
met je exploit een service op kan starten. Als je server dan verbonden is via
een router, kan niemand die service benaderen omdat de poort niet gemapt
staat.
28-06-2004, 12:55 door
[Account Verwijderd]
[Verwijderd]
Door Hugo
ook moeten kunnen op die routerkastjes. Die zijn meestal
unix/linux-based.
Jij begrijpt het dus niet helemaal. Met een beetje nuttige exploit is het heel Door Anoniem Tuurlijk wel. Het kan zijn dat je
met een exploit de lokale firewall uit kan zetten.
Lijkt me sterk. En als het mogelijk zou zijn, dan zal datmet een exploit de lokale firewall uit kan zetten.
ook moeten kunnen op die routerkastjes. Die zijn meestal
unix/linux-based.
makkelijk om een lokale firewall uit te schakelen. Het is niet zo makkelijk
van de deticated router een firewall uit te schakelen, omdat deze in principe
geen services heeft draaien (die vanaf internet te benaderen zijn), en dus
(bijna) niet te hacken zijn. Een lokale firewall is wel degelijk een stuk
minder veilig dan een firewall op een aparte machine.
NB: Ik zeg niet dat het helemaal veilig is, want met een XSS bug maakt t idd
niks uit wat voor firewall je draait, maar voor wat meer geavanceerde
exploits wel.
Zoals ik zei: als je firewall goed geconfigureerd staat, zal
dat niet lukken. Je kan op mijn server services starten wat
je wil, maar er naar toe connecten zal je niet lukken.
Als je een service kan starten op een server, kan je dus ook een lokale
firewall stoppen.
dat niet lukken. Je kan op mijn server services starten wat
je wil, maar er naar toe connecten zal je niet lukken.
Als je een service kan starten op een server, kan je dus ook een lokale
firewall stoppen.
Inderdaad. Wanneer je een port 80 forward naar de lokale
webserver kun je de "firewall" niet uit zetten. Wanneer dit
met een 1 of andere exploit wel zou kunnen hoef je dit
helemaal niet te doen want dan heb je de bak toch al
volledig onder controle. Dus dat heeft het forwarden
helemaal geen zin. Het enige voordeel met een routertje
ertussen is dat je een leuk verhaal kunt ophangen...
je "moet" dan een firewall hebben die een aantal kritieke
punten ondersteunt:
-Logs van de Firewall (snort/ids)
-bandbreedte beheer
-Proxy (squid bijvoorbeeld instellen zodat exploits ofzo
geen kans meer hebben al het verkeer loopt via de proxy)
webserver kun je de "firewall" niet uit zetten. Wanneer dit
met een 1 of andere exploit wel zou kunnen hoef je dit
helemaal niet te doen want dan heb je de bak toch al
volledig onder controle. Dus dat heeft het forwarden
helemaal geen zin. Het enige voordeel met een routertje
ertussen is dat je een leuk verhaal kunt ophangen...
je "moet" dan een firewall hebben die een aantal kritieke
punten ondersteunt:
-Logs van de Firewall (snort/ids)
-bandbreedte beheer
-Proxy (squid bijvoorbeeld instellen zodat exploits ofzo
geen kans meer hebben al het verkeer loopt via de proxy)
je forward geen poort naar lokaal! Waar heb je het in godes naam over??
Het gaat erom dat als je goed je gang wilt gaan op een server als er een
router tussen hangt, dat je dan ristricties hebt omdat er een router
tussenhangt. Je kunt bijvoorbeeld geen telnet service laten starten.
Tenminste, dit heeft geen zin, omdat die poort niet gemapt zal zijn op de
router. Als je een lokale firewall zou hebben en direct aan het internet
hangen, dan zou dit wel kunnen, want als je een service kan starten, kun je
ook je lokale firewall aansturen.
Ik heb een beetje het idee dat je nog niet veel ervaring hebt met exploits...
Het gaat erom dat als je goed je gang wilt gaan op een server als er een
router tussen hangt, dat je dan ristricties hebt omdat er een router
tussenhangt. Je kunt bijvoorbeeld geen telnet service laten starten.
Tenminste, dit heeft geen zin, omdat die poort niet gemapt zal zijn op de
router. Als je een lokale firewall zou hebben en direct aan het internet
hangen, dan zou dit wel kunnen, want als je een service kan starten, kun je
ook je lokale firewall aansturen.
Ik heb een beetje het idee dat je nog niet veel ervaring hebt met exploits...
Door Anoniem
je forward geen poort naar lokaal! Waar heb je het in godes naam over??
Het gaat erom dat als je goed je gang wilt gaan op een server als er een
router tussen hangt, dat je dan ristricties hebt omdat er een router
tussenhangt. Je kunt bijvoorbeeld geen telnet service laten starten.
Tenminste, dit heeft geen zin, omdat die poort niet gemapt zal zijn op de
router. Als je een lokale firewall zou hebben en direct aan het internet
hangen, dan zou dit wel kunnen, want als je een service kan starten, kun je
ook je lokale firewall aansturen.
Ik heb een beetje het idee dat je nog niet veel ervaring hebt met exploits...
je forward geen poort naar lokaal! Waar heb je het in godes naam over??
Het gaat erom dat als je goed je gang wilt gaan op een server als er een
router tussen hangt, dat je dan ristricties hebt omdat er een router
tussenhangt. Je kunt bijvoorbeeld geen telnet service laten starten.
Tenminste, dit heeft geen zin, omdat die poort niet gemapt zal zijn op de
router. Als je een lokale firewall zou hebben en direct aan het internet
hangen, dan zou dit wel kunnen, want als je een service kan starten, kun je
ook je lokale firewall aansturen.
Ik heb een beetje het idee dat je nog niet veel ervaring hebt met exploits...
De webserver staat toch in he lokale netwerk voor de firewall gezien.
Neem een Soekris 4801 (http://www.soekris.com) met
OpenBSD/NetBSD/FreeBSD
Dan kun je een aparte DMZ gebruiken voor de hosting van je site.
Het doosje heeft 3 interfaces
OpenBSD/NetBSD/FreeBSD
Dan kun je een aparte DMZ gebruiken voor de hosting van je site.
Het doosje heeft 3 interfaces
28-06-2004, 20:41 door
[Account Verwijderd]
[Verwijderd]
Klein vraagje ivm de firewall setup:
Wat kan ik het beste kiezen voor een netwerk bestaande uit 2
vaste werkstations, 1 printer, 1 wifi router, 3 wifi
laptops, 1 fileserver en 1 webserver? Moet ik kiezen voor
een firewall die ik koop in de winkel, of moet ik eerder
uitkijken naar een oude pc met 2/3 netwerkkaarten erin en
die dan als dedicated linux firewall laten draaien? En wat
doe ik met het wifi-netwerk? Ik zou het publiek willen
stellen zonder dat het mijn netwerk kan blootleggen. Ik kan
beschikken over 4 IP-adressen. Wat is jullie mening?
Wat kan ik het beste kiezen voor een netwerk bestaande uit 2
vaste werkstations, 1 printer, 1 wifi router, 3 wifi
laptops, 1 fileserver en 1 webserver? Moet ik kiezen voor
een firewall die ik koop in de winkel, of moet ik eerder
uitkijken naar een oude pc met 2/3 netwerkkaarten erin en
die dan als dedicated linux firewall laten draaien? En wat
doe ik met het wifi-netwerk? Ik zou het publiek willen
stellen zonder dat het mijn netwerk kan blootleggen. Ik kan
beschikken over 4 IP-adressen. Wat is jullie mening?
Reactie op firewallsetup:
De bovenstaande discussie is wat warrig. De een is voor de
ander is tegen een aparte box om als gateway/firewall/server
te dienen. Ik ben zelf erg gelukkig met een linuxbox (RH
9.0, voor preformance heb ik de grafische shell er
uitgelaten) met o.a. TurtleFirewall (is webinterface voor
IPtables = Firewall) & Squid. (Squid is een proxyserver).
Alles is prima te beheren vanuit Webmin. Het is erg leuk om
er mee bezig te zijn en je krijgt een goed inzicht hoe
netwerk verkeer inelkaar zit. Met name het laatst genoemde
is voor mij een reden om geen kant-en-klaar routertje te
kopen. Doordat mijn Linux Box heb ik geleerd waar ik op moet
letten mbt netwerkverkeer. Dus wanneer je zelf iets wilt
leren en wilt puzzelen bouw een linux doos. Wil je veilig
zitten en nergens meer naar omhoeven kijken: koop een routertje.
Crazy Ivan
De bovenstaande discussie is wat warrig. De een is voor de
ander is tegen een aparte box om als gateway/firewall/server
te dienen. Ik ben zelf erg gelukkig met een linuxbox (RH
9.0, voor preformance heb ik de grafische shell er
uitgelaten) met o.a. TurtleFirewall (is webinterface voor
IPtables = Firewall) & Squid. (Squid is een proxyserver).
Alles is prima te beheren vanuit Webmin. Het is erg leuk om
er mee bezig te zijn en je krijgt een goed inzicht hoe
netwerk verkeer inelkaar zit. Met name het laatst genoemde
is voor mij een reden om geen kant-en-klaar routertje te
kopen. Doordat mijn Linux Box heb ik geleerd waar ik op moet
letten mbt netwerkverkeer. Dus wanneer je zelf iets wilt
leren en wilt puzzelen bouw een linux doos. Wil je veilig
zitten en nergens meer naar omhoeven kijken: koop een routertje.
Crazy Ivan
Niet meteen beledigd voelen, maar ik heb het vermoeden dat
je maar half weet waar je over praat. Als je het zo
makkelijk vindt om firewalls neer te halen, mail me maar via
[email]dr.snuggles@gmail.com[/email] dan krijg je m'n IP adres. Dan mag jij
mooi mijn firewall neerhalen.
Ik beweer niet dat ik dat kan, maar het zou wel kunnen. Als je met een sploit je maar half weet waar je over praat. Als je het zo
makkelijk vindt om firewalls neer te halen, mail me maar via
[email]dr.snuggles@gmail.com[/email] dan krijg je m'n IP adres. Dan mag jij
mooi mijn firewall neerhalen.
een process kan killen, kan je ook de firewall killen. Tenzij het niet een
process is wat op de server draait: een stand alone firewall.
Klein vraagje ivm de firewall setup:
Wat kan ik het beste kiezen voor een netwerk bestaande uit 2
vaste werkstations, 1 printer, 1 wifi router, 3 wifi
laptops, 1 fileserver en 1 webserver? Moet ik kiezen voor
een firewall die ik koop in de winkel, of moet ik eerder
uitkijken naar een oude pc met 2/3 netwerkkaarten erin en
die dan als dedicated linux firewall laten draaien? En wat
doe ik met het wifi-netwerk? Ik zou het publiek willen
stellen zonder dat het mijn netwerk kan blootleggen. Ik kan
beschikken over 4 IP-adressen. Wat is jullie mening?
Verander je fileserver in een domain controller. Haal bij alle shares die je Wat kan ik het beste kiezen voor een netwerk bestaande uit 2
vaste werkstations, 1 printer, 1 wifi router, 3 wifi
laptops, 1 fileserver en 1 webserver? Moet ik kiezen voor
een firewall die ik koop in de winkel, of moet ik eerder
uitkijken naar een oude pc met 2/3 netwerkkaarten erin en
die dan als dedicated linux firewall laten draaien? En wat
doe ik met het wifi-netwerk? Ik zou het publiek willen
stellen zonder dat het mijn netwerk kan blootleggen. Ik kan
beschikken over 4 IP-adressen. Wat is jullie mening?
hebt "everybody" weg uit de ACL en vervang deze door "domain users". Dan
heb je dus al bereikt dat alleen mensen die aangelogd zijn bij jou domain je
bestanden kunnen zien.
Ik moet je wel waarschuwen dat als je leuke buren hebt die dingen als
Sasser wormen maken enzo, dat je dan wel pliesie voor je deur kan krijgen.
30-06-2004, 10:58 door
[Account Verwijderd]
[Verwijderd]
30-06-2004, 11:03 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
