image

Hoe je een krachtige Linux stateful firewall kunt bouwen

dinsdag 4 januari 2005, 10:38 door Redactie, 23 reacties

Voor iedereen die een laptop, workstation, router of server met een Linux 2.4.x of 2.6.x kernel heeft en altijd al een stateful firewall wilde installeren, maar niet wist hoe dit moest, is er nu een uitgebreide handleiding verschenen. In de handleiding wordt uitgelegd hoe met netfilter een krachtige Linux stateful firewall geinstalleerd kan worden en hoe men deze kan configureren. Enige kennis van netwerk terminologie, zoals IP addressen, poort nummers, TCP, UDP en ICMP is wel een vereiste.

Reacties (23)
04-01-2005, 11:39 door [Account Verwijderd]
[Verwijderd]
04-01-2005, 12:47 door [Account Verwijderd]
[Verwijderd]
04-01-2005, 13:52 door Walter
En wat dachten jullie van "man iptables"?? (niet dat ik dat ooit heb gedaan
hoor, ik heb gewoon een script van iemand gekregen wat ik heerlijk
makkelijk kan aanpassen.
04-01-2005, 14:02 door Anoniem
houdt iptables ook states bij? ik dacht dat het alleen een
packet filter was
04-01-2005, 14:26 door Anoniem
Als je b.v. Fedora installeert en je zet met een vinkje
simpelweg de firewall aan tijdens de installatie, dan heb je
-volgens mij - ook een stateful firewall. Deze firewall is
geschikt voor werkstationgebruik dus niet als router.
Je kunt tijdens de installatie ook aanvinken dat bepaalde
diensten toegankelijk moeten zijn, bijvoorbeeld je
web-server of ftp-server en je kunt zelfs nog poorten
opgeven. Dat vereist wel enige kennis van zaken natuurlijk.

Als je ook nog Snort installeert, krijg je leuke informatie
over wat er allemaal op je afkomt.
04-01-2005, 15:18 door Anoniem
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen heen.
04-01-2005, 16:02 door Anoniem
Door Anoniem
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen heen.
Als server gebruik je natuurlijk Windows 2003!
04-01-2005, 16:33 door [Account Verwijderd]
[Verwijderd]
04-01-2005, 18:53 door Anoniem
Door Anoniem
Door Anoniem
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen heen.
Als server gebruik je natuurlijk Windows 2003!

Nee hoor, kost geld en is niet flexibel...en...en...en
04-01-2005, 19:55 door Anoniem
Door Anoniem
houdt iptables ook states bij? ik dacht dat het alleen een
packet filter was

IPTables zelf is (denk ik :-) ) inderdaad gewoon een packet
filter, maaarrrr er is een connection tracker en een module
voor IPTables. De connection tracket is bijvoorbeeld
verplicht als je aan nat (Network Address Translation) doet.
Ik las nog iets over een maximum, en dat is (voor zover ik
weet) 4096 connecties, en ik heb nog niet gevonden hoe je
dat moet verhogen. Mijn ervaring is dat je er niet zomaar
overheen gaat, er zijn waarschijnlijk timeouts, maar als de
connectie gewoon netjes door TCP afgesloten word, word ie
meteen uit de tabel geknikkerd. Ik ben er tot nu toe alleen
overheen gekomen door:
- een poortscan :-)
- Een "stress test" van de DNS die ik op die machine heb
draaien met enkele tientallen requests per seconde,
gedurende enkele minuten lang.
04-01-2005, 20:01 door Anoniem
04-01-2005, 22:47 door [Account Verwijderd]
[Verwijderd]
05-01-2005, 01:26 door Anoniem
Door Anoniem
zet hem met de nieuwste kernel nog maar even niet aan, in
ieder geval niet op een server die nooit uitgaat en veel
moet doen, de timeout staat namelijk belachelijk hoog en dan
ben je zo door je maximaal aantal open verbindingen
heen.
/proc/sys/net/ipv4/ip_conntrack_max
05-01-2005, 01:28 door Anoniem
Door AnoniemAls server gebruik je natuurlijk
Windows 2003!
Als je gevoelig wilt zijn voor
exploits, word je niet tegen gehouden.
05-01-2005, 01:31 door Anoniem
Door Anoniem
Ik las nog iets over een maximum, en dat is (voor zover ik
weet) 4096 connecties, en ik heb nog niet gevonden hoe je
dat moet verhogen.
De hoeveelheid entry's is
afhankelijk van de hoeveelheid werkgeheugen. De maximale
hoeveelheid connecties kun je aangeven in het bestand
/proc/sys/net/ipv4/ip_conntrack_max
05-01-2005, 09:02 door Anoniem
kijk eens op http://www.m0n0.ch voor een goede vrije
firewall

fd0
05-01-2005, 19:39 door Anoniem
Door Anoniem
Door Anoniem
Ik las nog iets over een maximum, en dat is (voor zover ik
weet) 4096 connecties, en ik heb nog niet gevonden hoe je
dat moet verhogen.
De hoeveelheid entry's is
afhankelijk van de hoeveelheid werkgeheugen. De maximale
hoeveelheid connecties kun je aangeven in het bestand
/proc/sys/net/ipv4/ip_conntrack_max

Weet je zeker dat dat de goede file is ? Als ik ga kijken
staat daar 6144 in, maar bij het booten, en als ik kijk met
wc -l op /proc/net/ip_conntrack (op het moment dat ik een
log message krijg dat ik door m'n aantal connecties heen
ben) dan kom ik op 4096 ...
06-01-2005, 00:46 door Anoniem
Jullie begrijpen er helemaal niets van...

http://www.fwbuilder.org
06-01-2005, 02:09 door [Account Verwijderd]
[Verwijderd]
06-01-2005, 10:58 door Anoniem
Door Hugo
Jullie begrijpen er helemaal niets van...
Haha!! Welkom.... newbie.
Wat is er mis met FireWall Builder?
06-01-2005, 11:33 door Anoniem
Door Anoniem
Door Hugo
Jullie begrijpen er helemaal niets van...
Haha!! Welkom.... newbie.
Wat is er mis met FireWall Builder?

hmm kan het ook gewoon commandline?
06-01-2005, 12:28 door Anoniem
Door Anoniem
Door Anoniem
Door Hugo
Jullie begrijpen er helemaal niets van...
Haha!! Welkom.... newbie.
Wat is er mis met FireWall Builder?

hmm kan het ook gewoon commandline?

Ja hoor, dat kan. Maar het werkt toch wel een pietsie
makkelijker als je je commando's in een scriptje zou vatten.
Scheelt ook bij het opstarten van je machine ;-)
#man iptables
07-01-2005, 14:32 door Anoniem
Door Anoniem
Jullie begrijpen er helemaal niets van...

http://www.fwbuilder.org

Ik ben het volledig met je eens!

Je hebt dan meteen een checkpoint firewall 1 achtige oplossing.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.