GeLOGtes von den KS00x1 – IP-Tables „Die Firewall Werkzeuge aus GNU/Linux“

Vorankündigung der Veranstaltung

IPTABLES(8) iptables 1.4.21 IPTABLES(8)                

 

Thema der ersten Sitzung:

iptables/ip6tables — administration tool for IPv4/IPv6 packet filtering

and NAT

 

Zu Beginn der Veranstaltung sprachen wir zuerst einmal darüber, ob es sinnvoll ist auf einem Desktop PC eine Firewall zu betreiben. Ich persönlich rate lieber davon ab. Um Desktop PC abzusichern, gibt es andere Werkzeuge. Hierzu wollen wir mal eine eigene (themenbezogenen) Veranstaltung machen.

Die Veranstaltung war mit 2 Std. avisiert. 60Min für Kommunikation und 60minrum hacken“ – denn die Praxis ist oder soll Teil einer jeden KS00x0 sein. Es kam aber anders. Bei Kaffee und Kuchen plauscht es sich halt gut. Wir haben das Internet, um alle aufgeworfenen Fragen sofort nach zu schlagen. Also wurden aus den 2 Stunden mal eben locker 3 Stunden Kaffeeklatsch auf höchstem Anwender-Niveau. Einfach genial!

Auf alle Fälle soll das Thema unbedingt nochmal gemacht werden. Gerne doch, auf Wunsch eines Teilnehmers aber erst am Ende der Berliner Sommerferien.

Wir werden zum nächsten Treffen auch jemensch finden, der/die das mal alles ins Wiki schreibt, was wir so besprochen und gemacht haben. Das ist wichtig für diejenigen die nochmal zu Hause in Ruhe nachlesen wollen.

Wer zu Hause nun mit IP Tables rumspielen möchte, sollte sich das in einer VM mal anschauen. Wichtig ist, dass die Virtuelle Maschine 2 NIC besitzt. Üblicherweise betreibt man FW-Server mit festen IP Adressen. Das NIC, das mit dem DSL-Modem verbunden ist, kennt dann nur die lokale IP Adresse des DSL Modems/Router. Eine weitere NIC – die zum LAN hin, bekommt eine IP Adresse zur Kommunikation.

Wichtig ist, dass wir uns zuerst für eine „Default Rule(Set)“ entscheiden. Alles ist erlaubt – das bedeutet, dass ich später alles als Rule definiere, was Verboten ist. Oder ich mache die Default Regel „Alles Verboten“ – und gebe dann die Service/Dienste frei, die explizit erlaubt sind.

Ein weiterer Punkt der angesprochen werden muss, stateles und statefull Inspection. Ausschlaggebend ist hier der Dienst/Service und dessen Protokoll. Achja, noch ein Wort zu den Protokollen und ihren (dazu gehörenden) Ports. Stellen wir uns ein Betriebssystem als Sieb vor. Jedes Loch ist ein Port. Wir haben rd. 65.000 davon. Nicht alle davon sind „offen“. Mit offen meine ich hier, dass diese Ports und dazu gehörenden Dienste Daten „von außen“ annehmen (und ggf ausführen) können. Denn genau das wollen wir ja kontrollieren und ggf verhindern. Da wir nicht jedes Netzwerk kennen können, nutzen wir hier im Workshop immer die Standard Port Nummern nach entsprechenden RFC. Eine Portdatenbank mal einsehen, lohnt sich hier also. Wie man ein Netzwerk nach offenen Ports und Diensten durchforsten kann wollen in einem Netcat / Nmap KombjuderStreuselschen mal abarbyten.

Wer also die Möglichkeit der VM hat, kann rumspielen, bitteschön:

SYNOPSIS

iptables [-t table] {-A|-C|-D} chain rule-specification

ip6tables [-t table] {-A|-C|-D} chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

iptables [-t table] -N chain

Wer sich zum Thema noch etwas einlesen möchte, dem sei die Linkliste hier unten ans Herz gelegt ;)

Danke für die rege Teilnahme und bis bald!

Links: