![](https://www.fachinformatiker.de/uploads/set_resources_14/84c1e40ea0e759e3f1505eb1788ddf3c_pattern.png)
bRAIN2fast
-
Gesamte Inhalte
228 -
Benutzer seit
-
Letzter Besuch
Inhaltstyp
Profile
Forum
Downloads
Kalender
Blogs
Shop
Beiträge von bRAIN2fast
-
-
Hi,
also wenn du vermutest das es an einem Programm liegt hast du dann schon
geschaut was für Prozesse laufen? Schau dir an welche laufen müssen,
welche laufen dürfen und welche eingentlich nicht laufen dürften. Bei der letzt
genannten Gruppe solltest du den Übeltäter finden.
Hast du auch schon geschaut ob in der Reg Programme gestartet werden die
du nicht kennst und demnach da nichts verloren haben?
Have a nice DaY
[bRAIN2fast]
-
Originally posted by pakkoo
[...]
nichts grossartiges, keine iptables!!
die firewall ist ein teil meines projektes,wenn ich noch mit iptables anfangen würde, würde rahmen gesprengt!
Hi,
Also halten wir mal fest: Du hast ein Projekt eine _Firewall_ einzurichten.
Dazu schreibst du in einem Skript ein paarmal "yes" und auch ein paarmal "no"
und nicht zu vergessen ein paar zahlen. Das klappt dann natürlich nicht weil du
dich ganz offensichtlich kein bischen mit dem Thema auseinandergesetzt hast.
Keine gute Vorraussetzung für ein Projekt. Ein Tipp: RTFM!
Alles was du bis jetzt gemacht hast war ein paar Variblen zu füllen. Diese Variablen
werden in ein _iptables_ Skript eingebaut. Denn ohne iptables wird das schwer
zu realisieren sein. Das heißt ein gewisses Grundwissen über iptables sollte schon
da sein.
Wenn du was einstellen möchtest was in dem Skript nicht vorgeshen war
dann musst man das eben von Hand machen.
Und wenn ich das richtig sehe (bin kein SuSE Experte) dann ist da keine Variable
die dafür zuständig ist Ports auf dem äusseren Interface zu sperren.
Wirst also Wohl oder Übel selbst Hand anlegen müssen.
www.netfilter.org ist immer zu empfehlen.
Das hab ich von Google:
/usr/share/doc/packages/SuSEfirewall2/EXAMPLES !
/usr/share/doc/packages/SuSEfirewall2/FAQ !
/usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.conf.EXAMPLE !
Have a nice DaY
[bRAIN2fast]
P.s.: Darf ich den letzten Satz in deinem Posting als Sig benutzen?
Der Satz ist einfach ein Brüller. ;-)
-
hi,
also wenn ich das richtig verstanden habe möchtest du _nur_ das der Squid
von aussen nicht sichtbar ist. Das kannst du mit einem
$iptables -A INPUT -p tcp --dport 3128 -i $EXT_IFACE -j DROP
erreichen.
Weitere Info's hier (bringt Goolge als Antwort):
http://www.wrecky.de/r-susefirewall2.html
http://prdownloads.sourceforge.net/susefaq/SuSE-FAQ-140303.pdf?use_mirror=flow
Have a nice DaY
[bRAIN2fast]
-
Hi,
ein Skript schicken?
Also wenn du einen angemesenen Stundenlohn zahlst
erledige ich _deine_ Arbeit gern.
Ansonsten sollte die Frage wohl eher lauten.
"Ich habe ein Problem mit meinen Firewallskript. Kann mir jemand dabei helfen?"
Das werden wir auch gerne tun wenn du uns mehr/brauchbare Infos lieferst.
Have a nice DaY
[bRAIN2fast]
-
Hi,
wieso musst du die Anfragen die von aussen kommen maskieren?
Also nochmal: Masquerading ist SNAT das heißt die
Quelladresse wird geändert. Warum möchtest du diese ändern?
Schließlich muss der httpd dem Anfragenden doch antworten können.
Alles was du ändern mußt ist die Zieladresse. Und zwar (bezogen auf dein
Beispiel) von 192.168.10.10 zu 192.168.10.1.
Wie du das realisiern kannst?
Wie ich in meinem ersten Posting geschrieben habe möchest du Porforwarding
machen. Das wäre auch ein Begriff mit dem du _gezielt_ in der Doku suchen
könntest. Abgesehen davon solltest du das NAT Howto erst mal lesen bevor du
sowas machst. Einfach um eine gewisse Grundlage zu schaffen die ja offensichtlich
nicht vorhanden ist. Hier der Link:
http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO.html
Nein, vorlesen werde ich es dir nicht. ;-)
Der Vollständigkeit halber: Natürlich könntest du die Anfrage von aussen auch noch maskieren nur ist das nicht erforderlich. Im Gegenteil du hast dann sogar ein paar
Nachteile. Denn dann scheinen alle Anfrage an den httpd von deinem "Firewall PC"
zu kommen. Bestimme Analysen oder Statistiken wäre damit nicht möglich.
Have a nice DaY
[bRAIN2fast]
-
hi,
also das kann man mit jeder Distribution machen. Nimm einfach das was
die meinsten Leute haben die du kennst. Mein Favorit: ganz klar Debian.
Wegen download schau mal bei www.linuxiso.org vorbei oder bei den jeweiligen
Distributoren.
Wenn du mit einfach meinst das du dich nicht informieren braucht dann nimm Windows[tm].
Have a nice DaY
[bRAIN2fast]
-
Originally posted by pAnBytE
hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen".
warum er das will weis ich auch net nach innen aber wen interresierts ^^
nach außen is es ja verständlich...
Ist ganz schön anstrengend dir zu folgen.
wieso ist es nicht verstänlich wenn jemand anfragen von _aussen_ nach innen
weiterleigen möchte? Was machst du wenn du einen httpd von _aussen_
anstprechen möchtest der sich z.B. in einer DMZ befindet die einen privaten
IP Adressen bereich hat?
Das was noch nicht ganz geklärt ist, ist warum er den die _äussere_
adresse masquieren möchte. Was technisch gesehen keine Probleme machen
würde. Nur warum?
Bitte mehr Infos. Glasskugel grade kaputt. ;-)
Have a nice DaY
[bRAIN2fast]
-
Originally posted by pAnBytE
[...]
oder ich verstehe hier was total falsch
ja!
Er benutzt iptables wie es sehr gut leserlich im Subject steht.
Also dir empfehle ich auch mal
www.netfilter.org && man iptables
wenn das nicht hilft dann /dev/null (siehe sig)
Have a nice DaY
[bRAIN2fast]
-
Hi,
also erstes solltest du mal hier ein bischen lesen. www.netfilter.org
$man iptables
ist auch ganz Informativ. Aber das hast du beides bestimmt schon gelesen.
Masquerading ist SNAT nicht DNAT! und beides erst recht nicht. ;-)
Ein paar mehr Infos was du eingentlich vorhast wäre ganz nett.
Ich versuche es aber trotzdem mal.
Was du machen willst ist Portforwarding. Von außen kommt eine Anfrage
und die soll ins Lan weitergeleitet werden. Das heißt du willst DNAT machen.
Du willst das Ziel der Daten ändern. Warum du aber auch die Quelladresse
der Daten änder willst kann ich, aufgrund feldender Infos nicht nachvollziehen.
Wenn das netfilter Howto richtig gelesen hättest (hast du doch bevor du hier
gepostet hast, oder?) dann wüsstest du warum Masqurading in der Prerouting
Chain nicht wirklich gut funktioniert. ;-)
Have a nice DaY
[bRAIN2fast]
-
Hi,
es geht um mehr als nur um Routing. Er möchte das ganze auch absichern.
Da gibt es schon ne Menge zu machen. Wobei das natürlich davon abhängt
wie _sicher_ er hinter dem Router sein möchte. Ausserdem ist er damit
flexibler und kann es besser seinen sich änderden Bedürfnissen anpassen.
Das mit dem Stromverbrauch ist allerdings ein gewichtiges Argument.
Letztendlich muss man selbst entscheiden was einem wichtiger ist.
also so langsam denke ich sind wir hier OT.
deshalb fup'2 poster
Have a nice DaY
bRAIN2fast
-
Hi,
es lohnt sich nicht was zu lernen? Bist du sicher das du diesen Beruf ausüben willst?
Wenn es schnell gehen müsste und der DSLRouter alle Anforderungen erfüllen
würde die gebraucht werden dann wäre ich deine Meinung.
Aber da er das ganze zu hause aufbauen möchte ist das doch _die_ Gelegenheit
was zu lernen. Das bischen rumklicken bei dem DSLRoutern wird ihm nicht wirklich
viel bringe.
Weiterbilden/Weiterentwickeln ist das wichtigste in unserem Job!
Have a nice DaY
bRAIN2fast
-
Hi,
was soll ich mir kaufen ein Fahrrad oder eine Banane?
Das eine hat mit dem anderen nichts zu tun.
Dann möchtest du eine _Hardwarefirewall_ und schreibst aber im selben Satz
das du Emule und Kazaa laufen lassen willst. Ja was nun, willst du Sicherheit oder
nicht?
Mein Vorschlag:
Besorg dir (für 20 ? mehr nicht
) einen 486 und hau Linux drauf. Dem bringst du
dann das routen bei und sagst ihm das die Blackhat's
draußen bleiben müssen. In Sachen Security hast du auch um einiges mehr Möglichkeiten als bei diesen DSLRoutern.
Hinter den Router hängst du dann ein Hub (kann auch ein switch sein aber braucht
man das für 2 Rechner wirklich?) und das wars.
Ist kostengünstig und du lernst was dabei.
Have a nice Day
bRAIN2fast
-
Hi,
habe ich das richtig verstanden, der Win2k Server hängt direkt im
Netz? Ihr wisst, das daß eine Einladung für jedes script-kiddie ist?!
Aber nun zu deiner Frage:
Warum willst du Ports schliessen? Schalte doch einfach alle Dienste ab
die zu nicht brauchst.
Du kannst natühlich auch die TCP/IP-Filter aktivieren aber dann bekämpfst
du die Wirkung statt der Ursache.
Have a nice DaY, bRAIN2fast
-
-
Du möchtest das IPChains-Howto lesen.
http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-formats/pdf/IPCHAINS-HOWTO.pdf
Cya
-
Du schickst auf das Ziel eine _menge_ SYN Packete. Wenn
der mit SYN-ACK antwortet machst du garnichts. Also weder
ACK noch FIN. Einfach nur SYN Packete schicken.
Das die Verbindung für den Server weder aufgebaut wurde
noch beendet ist. Irgendwann dann mal der Speicher über.
Cya
-
dann lies dir mal das NAT-HOWTO durch! Stichwort port forwarding!
Hat aber 2 frozen auch schon vorgeschlagen.
Der Link bringt sehr wohl was. Denn hättest du alles gelesen
und verstanden(!) dann wüsstest du das man einen Port
nicht einfach so _oeffen_ kann! Was ja deine Frage war!
Cya
-
Wie willst du tunneling grundsätzlich verhindern?
Wenn ein "verbotenes" Protokoll in ein erlaubtes gekaplset wird
wie willst du das erkennen?
Mir ist kein Proxy bekannt der das macht/kann.
Cya
-
ich glaube du hast unsere antworten nicht ganz verstanden!
bzw. die ganze Sache nicht!
Und wenn du das kennst (der link) und das für dich alles klar ist wo ist dann dein Problem?!
Cya
-
Original geschrieben von lugustav
hi. unix macht es sogar sehr leicht. je nach dem wie man es sehen mag.
aber du brauchst auf jeden fall amd-rechte und ich denke nicht das dein adm dir diese zum einen gibt und zum anderen das tunneling zu lässt.
Für was das admin passwort? Und zum tunneln braucht man das
admin passwd eh nicht. Warscheinlich merkt der admin das nicht
mal.
Für den admin ist es so gut wie unmöglich tunneling zu verhindern.
Cya
-
doch mit tunneling könnte es klappen.
Und wenn geschlagen werden willst frag doch einfach
den Admin.
Cya
-
Original geschrieben von Burgi
Ich wollte eigentlich garnicht so tief in die MAterie gehen.
Dann solltest du es doch lieber sein lassen!
Und was glaubst du wie sich jemand mit deinem Rechner verbinden
kann? Indem er eingibt:
$hallo ich hätte gern ne Verbindung zu Burgi! aber pronto!
Da müss ein Dienst laufen der diese Anfrage entgegen nimmt. Und
wenn da ein Dienst läuft ist der Port offen. Und wenn da nix läuft ist
er zu.
man telnet
oder besser
man ssh
Cya
-
Frag doch mal den Admin war er dazu meint.
Cya
-
Du meinst Masquerading (SNAT).
Der Router hat ne Tabelle in der er sich die Infos speichert die
er benötigt.
Wie die anderen schon gesagt haben schau dir mal den
IP Stack an. Und am besten noch NAT!
Cya
Dateien per tar sichern
in Linux
Geschrieben
Hi,
probiert es mal so:
find /verzeichniss/ -mtime +1 >> ./files
tar cvf /test.tar -T ./files
rm ./files
In dem Fall werden alle Files gesichert die älter als 1 Tag sind.
Achtung bei dem Prameter -T. Bei manchen tar Versionen heißt es -I
oder es gibt ihn garnicht!
Vielleicht hilft dir das ja weiter.
Have a nice DaY
[bRAIN2fast]