Hoe je een krachtige Linux stateful firewall kunt bouwen
Voor iedereen die een laptop, workstation, router of server met een Linux 2.4.x of 2.6.x kernel heeft en altijd al een stateful firewall wilde installeren, maar niet wist hoe dit moest, is er nu een uitgebreide handleiding verschenen. In de handleiding wordt uitgelegd hoe met netfilter een krachtige Linux stateful firewall geinstalleerd kan worden en hoe men deze kan configureren. Enige kennis van netwerk terminologie, zoals IP addressen, poort nummers, TCP, UDP en ICMP is wel een vereiste.
hoor, ik heb gewoon een script van iemand gekregen wat ik heerlijk
makkelijk kan aanpassen.
packet filter was
simpelweg de firewall aan tijdens de installatie, dan heb je
-volgens mij - ook een stateful firewall. Deze firewall is
geschikt voor werkstationgebruik dus niet als router.
Je kunt tijdens de installatie ook aanvinken dat bepaalde
diensten toegankelijk moeten zijn, bijvoorbeeld je
web-server of ftp-server en je kunt zelfs nog poorten
opgeven. Dat vereist wel enige kennis van zaken natuurlijk.
Als je ook nog Snort installeert, krijg je leuke informatie
over wat er allemaal op je afkomt.
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen heen.
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen heen.
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen heen.
Nee hoor, kost geld en is niet flexibel...en...en...en
houdt iptables ook states bij? ik dacht dat het alleen een
packet filter was
IPTables zelf is (denk ik :-) ) inderdaad gewoon een packet
filter, maaarrrr er is een connection tracker en een module
voor IPTables. De connection tracket is bijvoorbeeld
verplicht als je aan nat (Network Address Translation) doet.
Ik las nog iets over een maximum, en dat is (voor zover ik
weet) 4096 connecties, en ik heb nog niet gevonden hoe je
dat moet verhogen. Mijn ervaring is dat je er niet zomaar
overheen gaat, er zijn waarschijnlijk timeouts, maar als de
connectie gewoon netjes door TCP afgesloten word, word ie
meteen uit de tabel geknikkerd. Ik ben er tot nu toe alleen
overheen gekomen door:
- een poortscan :-)
- Een "stress test" van de DNS die ik op die machine heb
draaien met enkele tientallen requests per seconde,
gedurende enkele minuten lang.
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen
heen.
Windows 2003!
exploits, word je niet tegen gehouden.
Ik las nog iets over een maximum, en dat is (voor zover ik
weet) 4096 connecties, en ik heb nog niet gevonden hoe je
dat moet verhogen.
afhankelijk van de hoeveelheid werkgeheugen. De maximale
hoeveelheid connecties kun je aangeven in het bestand
/proc/sys/net/ipv4/ip_conntrack_max
Ik las nog iets over een maximum, en dat is (voor zover ik
weet) 4096 connecties, en ik heb nog niet gevonden hoe je
dat moet verhogen.
afhankelijk van de hoeveelheid werkgeheugen. De maximale
hoeveelheid connecties kun je aangeven in het bestand
/proc/sys/net/ipv4/ip_conntrack_max
Weet je zeker dat dat de goede file is ? Als ik ga kijken
staat daar 6144 in, maar bij het booten, en als ik kijk met
wc -l op /proc/net/ip_conntrack (op het moment dat ik een
log message krijg dat ik door m'n aantal connecties heen
ben) dan kom ik op 4096 ...
hmm kan het ook gewoon commandline?
hmm kan het ook gewoon commandline?
Ja hoor, dat kan. Maar het werkt toch wel een pietsie
makkelijker als je je commando's in een scriptje zou vatten.
Scheelt ook bij het opstarten van je machine ;-)
#man iptables
Ik ben het volledig met je eens!
Je hebt dan meteen een checkpoint firewall 1 achtige oplossing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!