PDA

Bekijk Volledige Versie : Goede firewall



rudy
17/06/03, 10:38
Ik heb laatste mijn eigen server gekocht, nu wil ik een zo goed mogelijk firewall maken met IPFW, ik heb 'm al behoorlijk dicht.
Maar dat moet natuurlijk zo goed mogelijk. Weet iemand waar iets van een voorbeeld staat waar ik allemaal rekening moet houden?
Ja, de IPFW howto, maar ik zoek meer iets van een voorbeeld.

Herbert
17/06/03, 19:30
Hallo Rudie,
ik gebruik zelf Bastille Firewall met mod_antihak
Alle poorten behalve de gebruikelijke zijn onzichtbaar.
ICMP staat ook uit bij mij (Ping request)
Hiermee heb ik nooit problemen gehad.
Verder adviseer ik regelmatig de security updates te instaleren.

ric0
18/06/03, 11:06
Origineel geplaatst door rudy
Ik heb laatste mijn eigen server gekocht, nu wil ik een zo goed mogelijk firewall maken met IPFW, ik heb 'm al behoorlijk dicht.
Maar dat moet natuurlijk zo goed mogelijk. Weet iemand waar iets van een voorbeeld staat waar ik allemaal rekening moet houden?
Ja, de IPFW howto, maar ik zoek meer iets van een voorbeeld.

Ik heb zelf meer en betere ervaringen met IPFilter. Er is een duidelijke howto van die je stap voor stap meer van de regels leert. Daarnaast vind ik de syntax van IPFilter wat beter te lezen.

De beste manier van een firewall bouwen is volgens mij vanaf scratch beginnen en alleen opengooien wat nodig is.

blasty__
18/06/03, 19:19
Ik ben eigenlijk zeer tevreden met IPtables (linux) en heb daarmee mijn eigen custom rules :)

StarInternet
27/06/03, 17:30
Origineel geplaatst door blasty__
Ik ben eigenlijk zeer tevreden met IPtables (linux) en heb daarmee mijn eigen custom rules :)
voor de lol eens port 22 dicht doen =)

Let wel even op gebruik geen standaard scripts van internet.
Onderzoek ze goed! het kan zijn dat ze voor locaal bedoelt zijn en dan sluiten ze ssh, apache, etc allemaal uit.
En zonder ssh kan je naar de datacenter toe of je hosting bedrijf op bellen.

Mike
27/06/03, 17:43
Hehe, bij mij IS poort 22 dichtgetimmerd via IPtables. Alleen heb ik IPtables een stukje eerder vertelt dat mijn (vaste) ipadres altijd doorgelaten moet worden.

Das wel handig :)

StarInternet
27/06/03, 17:57
Origineel geplaatst door Mike
Hehe, bij mij IS poort 22 dichtgetimmerd via IPtables. Alleen heb ik IPtables een stukje eerder vertelt dat mijn (vaste) ipadres altijd doorgelaten moet worden.

Das wel handig :)
Tot dat je bij een kabel provider zit met een dynamisch ip adres =)

Mike
27/06/03, 18:13
Bah! :D

Maar ok, dit werkt alleen goed als je een vaste ip hebt. Daarbij heb ik nog wat andere vaste ip's die toegang hebben.

X-Networks
27/06/03, 19:31
Jah, dat je niet straks, de poort van je switches dichttimmerd :p

babak
28/06/03, 00:49
Ik heb een betere firewall! steker uit de stopcontact!:D

Kijk op http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=firewall+linux+example je vind meer dan genoeg voorbeelden.

host3000
28/06/03, 13:33
Origineel geplaatst door Mike
Bah! :D

Maar ok, dit werkt alleen goed als je een vaste ip hebt. Daarbij heb ik nog wat andere vaste ip's die toegang hebben.

met dyndns.org krijg je een vaste hostname.

Mike
28/06/03, 16:44
Hmm, slimme opmerking!

Ik heb services die wel open staan en wil die beschermen met tcpwrappers. probleem is alleen dat een aantal mensen dynamische ip's hebben. Zo dynamisch dat er gewoon geen regel voor te bedenken valt, behalve de toko open te gooien voor alles en iedereen.
Maar een hostname die dynamisch gelinkt wordt aan een ip, das wel handig :)

StarInternet
28/06/03, 19:21
Origineel geplaatst door Mike
Hmm, slimme opmerking!

Ik heb services die wel open staan en wil die beschermen met tcpwrappers. probleem is alleen dat een aantal mensen dynamische ip's hebben. Zo dynamisch dat er gewoon geen regel voor te bedenken valt, behalve de toko open te gooien voor alles en iedereen.
Maar een hostname die dynamisch gelinkt wordt aan een ip, das wel handig :)
En dan zit je nog met de DNS update time.
Kan zo voorkomen dat je een dag niet er op kan.
Lekker als je apache er uit ligt dat je geen eens op je servertje kan =)

host3000
28/06/03, 19:49
I've updated my hostname, why isn't it working?
Updates can take 15-20 minutes to propagate throughout the DNS system. It is possible that propagation could take longer under extenuating circumstances, but propagation shouldn't take much more than an hour at the very most. If you are still having problems, check the status page for any DNS problems before contacting support.
(top)


Met de clients die je zelf laat draaien, zal dat wel meevallen. Je bent er in ieder geval redelijk snel bij als je een nieuw ip adres krijgt.

Cliff
28/06/03, 23:10
Origineel geplaatst door host3000


met dyndns.org krijg je een vaste hostname.

Een vaste hostname heeft geen nut, aangezien de meeste firewall software alleen de eerste keer als de firewall regels aangemaakt worden de hostname naar een ip adres resolved.

electric
29/06/03, 09:20
Origineel geplaatst door Cliff


Een vaste hostname heeft geen nut, aangezien de meeste firewall software alleen de eerste keer als de firewall regels aangemaakt worden de hostname naar een ip adres resolved.

als je een hostname invult, dan zoekt ie steeds het IP nummer er bij :) dus het is niet zo dat als je je firewall start dat ie dan alleen maar dat enne IP nummer toelaat op het moment van zoeken.