---

Hej alle,

om meget snart skal jeg til at smide en firewall på den linux-server jeg
lige har installeret på min anden maskine.

Det bliver Shorewall på en SuSE 8.0. Min grundtanke var at lukke for alt
ekstern trafik, og kun tillade trafik fra 10.0.0.x.

However... jeg vil jo stadig ikke tillade alt trafik. For, tænk nu hvis
en eller anden fik hacket sig ind på min normale maskine, det ville vel
være noget af et hul ?

Så... jeg smider også Shorewall på min normale SuSE 8.0 installation jeg
bruger som desktop-maskine.

Jeg tænkte så på i den forbindelse:

- Er der bedre alternativer end Shorewall ? Det jeg leder efter, skal
være gratis, gerne med UI af en art, og rimeligt nemt at konfigurere.

- Kender nogen en god liste over porte der bruges som standard (kendte
og mindre kendte), samt porte der absolut intet har at gøre åbne ?

Nu har jeg ikke rodet specielt meget med firewalls før, og har derfor
ikke så meget erfaring med det endnu (hverken specifikke produkter eller
konceptet). Så, hvis I derudover har nogle gode råd jeg kan få med på
vejen, er det selvfølgelig også velkomment

--
Jacob Saaby Nielsen

---

Jacob Saaby Nielsen wrote:
>
> - Er der bedre alternativer end Shorewall ? Det jeg leder efter, skal
> være gratis, gerne med UI af en art, og rimeligt nemt at konfigurere.

Jeg bruger selv iptables, der findes vist nok grafiske brugerflader
til at generere regelsæt. Men jeg foretrækker nu at lave mit regelsæt
med en teksteditor, hvor jeg har fuldstændigt kontrol over resultatet.
Du kunne evt. tage et kig på denne side:

http://www.linuxsecurity.com/docs/colsfaq.html

>
> - Kender nogen en god liste over porte der bruges som standard (kendte
> og mindre kendte), samt porte der absolut intet har at gøre åbne ?

Jeg har som udgangspunkt lukket for alle porte, så har jeg åbnet dem
efterhånden som jeg fik brug for dem. Dette gælder både indgående og
udgående pakker.

>
> Nu har jeg ikke rodet specielt meget med firewalls før, og har derfor
> ikke så meget erfaring med det endnu (hverken specifikke produkter eller
> konceptet). Så, hvis I derudover har nogle gode råd jeg kan få med på
> vejen, er det selvfølgelig også velkomment

Du skal sørge for at bruge en firewall med en vis grad af statefull
inspection. Som minimum skal den kunne lave statefull inspection af
protokollerne: IP, ICMP, UDP og TCP. Dermed kan der foretages meget
mere fornuftig filtrering af pakkerne.

Der kan sikkert hurtigt opstå en vældig diskution om, hvorvidt det er
bedst at bruge DROP eller REJECT til pakker, du ikke vil lukke ind/ud.
Jeg går ind for REJECT, fordi det så er meget nemmere at debugge
problemer. Man kan evt. sætte en begrænsning på hvor mange pakker, der
REJECTes og så bruge DROP til resten, så du ikke spilder for meget
båndbredde i tilfælde af flooding/scanning.

Her er et par regler, jeg selv bruger i mit iptables setup:

-A LOGDROP -m limit --limit 1/minute --limit-burst 42 -j LOG --log-prefix "iptables DROP: "
-A LOGDROP -j DROP
-A LOGREJECT -m limit --limit 1/minute --limit-burst 42 -j LOG --log-prefix "iptables REJECT: "
-A LOGREJECT -p tcp -j REJECT --reject-with tcp-reset
-A LOGREJECT -p udp -j REJECT --reject-with icmp-port-unreachable
-A LOGREJECT -j REJECT --reject-with icmp-host-unreachable
-A SLOWLOGREJECT -m limit --limit 15/minute --limit-burst 10 -j LOGREJECT
-A SLOWLOGREJECT -j LOGDROP
-A LOGACCEPT -j LOG --log-prefix "iptables ACCEPT: "
-A LOGACCEPT -j ACCEPT

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

In article <3D4A5A10.3DB44FB9@daimi.au.dk>, kasperd@daimi.au.dk says...
> Jeg bruger selv iptables, der findes vist nok grafiske brugerflader
> til at generere regelsæt. Men jeg foretrækker nu at lave mit regelsæt
> med en teksteditor, hvor jeg har fuldstændigt kontrol over resultatet.

Shorewall er baseret på iptables. Jeg har fået at vide af nogle andre at
iptables vist sku' være det bedste at bruge. Så, den del er jo så ok

> Du kunne evt. tage et kig på denne side:
> http://www.linuxsecurity.com/docs/colsfaq.html

Den er bookmarket

--
Jacob Saaby Nielsen

---

Jacob Saaby Nielsen wrote:
>
> In article <3D4A5A10.3DB44FB9@daimi.au.dk>, kasperd@daimi.au.dk says...
> > Jeg bruger selv iptables, der findes vist nok grafiske brugerflader
> > til at generere regelsæt. Men jeg foretrækker nu at lave mit regelsæt
> > med en teksteditor, hvor jeg har fuldstændigt kontrol over resultatet.
>
> Shorewall er baseret på iptables.

Det lyder meget sandsynligt. Det kan nok være meget lærerigt
at kigge på den iptables configuration genererer for dig.
Hvis man gør det hver gang, må man da før eller siden lære
at skrive det selv.

Første gang du finder noget, der kan gøres smartere ved at
selv skrive sine regler er du nok færdig med at bruge
Shorewall.

> Jeg har fået at vide af nogle andre at
> iptables vist sku' være det bedste at bruge.

Det er jeg enig i, primært fordi iptables har statefull
inspektion.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Jacob Saaby Nielsen skrev:

> Shorewall er baseret på iptables. Jeg har fået at vide af nogle andre
> at iptables vist sku' være det bedste at bruge. Så, den del er jo så
> ok

Nogle vil have datteren, andre vil have moderen.

Bortset fra at stille nysgerrigheden, hvad skal du egentlig bruge en
firewall til? Skal du stille nogle kritiske services til rådighed på
internettet?
--
Det kan godt være at Bruce Springsteen ikke har udviklet sig, men det
er nu meget godt alligevel.

---

In article <aifioq.4s.3@mjoelner.aaks.aarhus.dk>, pedervm@myrealbox.com
says...

> Nogle vil have datteren, andre vil have moderen.

!?!??!?!

> Bortset fra at stille nysgerrigheden, hvad skal du egentlig bruge en
> firewall til? Skal du stille nogle kritiske services til rådighed på
> internettet?

Det er meningen at jeg, når ellers jeg lige får finanserne til det, vil
købe mig en ultra-stille maskine, og hoste mig eget domæne, med
dertilhørende mail/web/ftp og hvad jeg nu ellers måtte finde på

Så... de services der kommer, bliver ret kritiske... for mig Og jeg
gider naturligvis ikke ha' at en eller anden idiot bare brager min
server ned hvert og hvert andet øjeblik fordi det er for nemt for ham.

Jeg kommer også til at bruge den som fil-server, og de filer skal
uvedkommende jo ikke have fat i.

--
Jacob Saaby Nielsen

---

Jacob Saaby Nielsen skrev:

> pedervm@myrealbox.com says...

>> Nogle vil have datteren, andre vil have moderen.

> !?!??!?!

Som svar på dette:

> Shorewall er baseret på iptables. Jeg har fået at vide af nogle andre
> at iptables vist sku' være det bedste at bruge. Så, den del er jo så
> ok

Nogle vil have shorewall andre vil have iptables.

---

In article <aihidm.1mo.1@mjoelner.aaks.aarhus.dk>, pedervm@myrealbox.com
says...

> Nogle vil have shorewall andre vil have iptables.

Nårh ! Men... går det ikke ligesom ud på et, eftersom Shorewall bare er
en frontend til iptables ?

--
Jacob Saaby Nielsen

---

Jacob Saaby Nielsen wrote:
>
> In article <aihidm.1mo.1@mjoelner.aaks.aarhus.dk>, pedervm@myrealbox.com
> says...
>
> > Nogle vil have shorewall andre vil have iptables.
>
> Nårh ! Men... går det ikke ligesom ud på et, eftersom Shorewall bare er
> en frontend til iptables ?

Mit gæt er, at Shorewall er nemmere at gå til end iptables, men
du får tilgengæld ikke mulighed for at udnytte iptables fuldt ud.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Hej

Prøv også Mitels SME server. Du får firewaal, webserver, mailserver. Er
baseret på Squid som firewall. Textbaseret opsætning. Fylder ca. 450 MB på
harddisken.
Hilsen
Søren

Jacob Saaby Nielsen wrote:

> Hej alle,
>
> om meget snart skal jeg til at smide en firewall på den linux-server jeg
> lige har installeret på min anden maskine.
>
> Det bliver Shorewall på en SuSE 8.0. Min grundtanke var at lukke for alt
> ekstern trafik, og kun tillade trafik fra 10.0.0.x.
>
> However... jeg vil jo stadig ikke tillade alt trafik. For, tænk nu hvis
> en eller anden fik hacket sig ind på min normale maskine, det ville vel
> være noget af et hul ?
>
> Så... jeg smider også Shorewall på min normale SuSE 8.0 installation jeg
> bruger som desktop-maskine.
>
> Jeg tænkte så på i den forbindelse:
>
> - Er der bedre alternativer end Shorewall ? Det jeg leder efter, skal
> være gratis, gerne med UI af en art, og rimeligt nemt at konfigurere.
>
> - Kender nogen en god liste over porte der bruges som standard (kendte
> og mindre kendte), samt porte der absolut intet har at gøre åbne ?
>
> Nu har jeg ikke rodet specielt meget med firewalls før, og har derfor
> ikke så meget erfaring med det endnu (hverken specifikke produkter eller
> konceptet). Så, hvis I derudover har nogle gode råd jeg kan få med på
> vejen, er det selvfølgelig også velkomment
>
> --
> Jacob Saaby Nielsen

--
IT-administrator
Søren Winther Nielsen
National Centre for Register-based Research
University of Aarhus
Tåsingegade 1
8000 Århus C
Tel: (+45) 89 42 68 04
Fax: (+45) 89 42 68 13
E-mail: swn@ncrr.dk
Web-address: www.ncrr.dk

---

=?iso-8859-1?Q?S=F8ren?= W Nielsen <swn@ncrr.dk> writes:

>Hej

>Prøv også Mitels SME server. Du får firewaal, webserver, mailserver. Er
>baseret på Squid som firewall. Textbaseret opsætning. Fylder ca. 450 MB på
>harddisken.

450 MB?

Det burde da ikke fylde mere end 10-15 stykker? Hvad bruges resten
af al den plads til? (Overflødige ting på en firewall er ikke nogen
god plan)

Mvh.
   Klaus.

---

"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aidqti$a3u$1@katie.ellegaard.dk...

> >Prøv også Mitels SME server. Du får firewaal, webserver, mailserver. Er
> >baseret på Squid som firewall. Textbaseret opsætning. Fylder ca. 450 MB
på
> >harddisken.
>
> 450 MB?
>
> Det burde da ikke fylde mere end 10-15 stykker? Hvad bruges resten
> af al den plads til? (Overflødige ting på en firewall er ikke nogen
> god plan)

Når der er tale om så stort et HDforbrug, skyldes det vel netop at
SME-serveren (E-smith førhen)er alt muligt på en gang. Den nævnte Squid er
ikke en firewall, men en webcache.

Og jeg er helt enig med dig i at en FW vel bør leve sit eget liv på sin egen
HW.
Kan man bruge en løsning bygget over IP Chains på en hardned linux vil jeg
foreslå at tage et kig på Smoothwall.

vh
Jan