Filtern im Netz


....an die Mauer gerannt?....

Sicherheit liegt uns nicht nur seit der Lektion zu ssh am Herzen. Alle Daten die wir annehmen sollten gefiltert werden. Für unseren Server gilt noch mehr. Alle Daten die weitergeleitet werden oder verschickt werden müssen zuvor gefiltert werden.
Das wollen wir über filter, nat und mangle , bzw. kurz gesagt mit iptables umsetzen.

Doch zunächst etwas Theorie.
Literatur: Linux im Netz, C & L Verlag, S238 – 241

  1. Was ist eine Firewall? Beschreiben Sie anhand eines Beispiels den Einsatz einer Firewall.


  2. Nach welchen zwei Grundprinzipien agiert eine Firewall?


  3. Wie funktioniert ein Paketfilter? Wann versagt ein reiner Paketfilter als Firewall?


  4. Wie arbeitet ein Proxy Gateway als Firewall?


  5. Welche Art von Filterung nutzt netfilter ?


  6. Beschreiben Sie kurz die drei Tabellen filter, nat und mangle von iptables.


    Arbeiten mit iptables

  7. Was sind chains, targets und patterns in iptables?


  8. Lassen Sie sich die aktuell gültigen Firewallregeln mit einer geeigneten Option auflisten und erläutern Sie die Ausgabe.
    Zu welchem der drei Tabellen von oben gehört die Ausgabe.


  9. Wie kann man mit iptables seine eigene Firewall erstellen? Suchen sie ein konkretes kleineres Beispiel für eine mit iptables erstellte sinnvolle Firewall.
    Ergänzen sie ihr Beispiel mit Kommentaren zu den einzelnen Kommandozeilen.


  10. Firewall im Eigenbau: Für eine Firewall in Linux brauchen wir also nur iptables. Für die folgende Übung brauchen wir zwei Rechner:
    - beide sollten über Netzwerk erreichbar sein, testen sie mit ping
    - zunächst sollte die Firewall keine Ketten beinhalten, lassen sie sich dies durch ein passendes Kommado bestätigen
    - Notieren sie für später gleich das Kommando zum Löschen der Ketten von iptables
    - ping lief bisher, versuchen sie nun alle Tore durch die Firewall dicht zu machen, nach dem Motto „keine Pakete rein oder raus“, selbst der ping auf die eigene IP sollte nun nicht mehr möglich sein
    - in Linux laufen einige Funktionen über die Loopback-Adresse. Geben sie alle diese Verbindungen frei (Hinweis INPUT, OUTPUT für lo freigeben)
    - Es wäre nett, wenn wenigstens über ICMP Kontakt zwischen den Rechnern bestünde, konfigurieren sie die Firewall dazu
    - Um wenigstens Daten über SSL auszutauschen benötigen wir die Freischaltung für ssh. (Hinweis: Test über ssh-Aufruf )

    Notieren sie alle Kommandozeilen für iptables, die für die einzelnen Schritte benötigt werden und bauen sie damit ein Firewall-Shellscript.


  11. Erweiterungen für die Firewall:
    - Schreiben Sie jedesmal bei einem versuchten Aufruf der Seite www.rf-pingu.de einen Eintrag in die Systemlog-Datei.
    - Alle http-Verbindungen sollen dann erlaubt sein, bis auf die Verbindung zu www.rf-pingu.de
    - Richten Sie doch mal eine Portumleitung ein. Alle Pakete die auf einem bestimmten Port ankommen werden auf einen anderen Port umgeleitet. Leiten Sie dazu alle Anfragen des Standard-ssh-Ports auf einen anderen Port um. Vergessen Sie vor dem Test nicht den Port in /etc/services zu ändern.


...und nicht vergessen: Übernehmen sie die gewonnenen Erkenntnisse in die Dokumentation für den Server ! ...