Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Firewall gezocht (script voor IP-tables)

[DarthV]
22 antwoorden
  • Ik heb als firewall : Firestarter. Echter, ik ben er niet tevreden over. Mede omdat bepaalde instellingen niet blijken te werken. :o :o

    Kies ik bv www, smtp, pop als services die doorgelaten moeten worden, blijkt FTP ook een vertrouwde service te zijn.

    Wie weet een goede firewall?
    Ik heb Core-2
  • Kijk hier eens

    http://cvs.sourceforge.net/viewcvs.py/adsl4linux/ADSL4Linux/ADSL4Linux/templates/

    Haal de file firewall.iptables op + de file firewall.iptables.conf

    Plaats de *.conf in /etc en het bestand firewall.iptables in /usr/local/sbin.

    Je kan hem configureren door het *.conf filetje te editten.

    Succes
  • bedankt

    dit gaat lukken.
    :D
  • Wil je echt de beste firewall? Neem dan OpenBSD. Of anders een hardware-firewall (Cisco PIX bijvoorbeeld). Verder kom je bij iptables. Alleen de manier waarop je deze aanstuurt kan enorm verschillen. Jij zoekt dus een proggie om iptables aan te sturen…

    Waar heb je het voor nodig? Is kijken naar OpenBSD een optie (omdat het voor je (sterk commerciele) bedrijf is bijvoorbeeld)?
  • nee,

    ik doe alles puur hobby-matig.

    Ik heb een draytek vigor 2600 router met NAT-opties ed.
    Nu wil ik een softwarematige fire-wall om alle uitgaande en (evtuele) inkomende verkeer in de gaten te kunnen houden.

    Ik zoek gewoon aan simpele firewall, waarin ik firestarter herkende. :) . Omdat, zoals gezegd, er porten openstaan die ik dicht verw8te, zoek ik een andere fire-wall.
  • http://wiki.nedlinux.nl/index.php?page=NetFilter

    Je eigen firewall bouwen met iptables. Net zo simpel en dan weet je tenminste zeker dat het werkt.
  • Nog eenvoudiger is Easy Firewall Generator for IPTables. Hier kun je door een vragenlijst te doorlopen een firewall script met iptables laten maken die zelfs masquerading ondersteunt voor het geval je computer als gateway dient.. Het gegenereerde script laat je vervolgens als service draaien.
    Dit doe je door het script in /etc
    c.d
    c.local te plakken, of beter als init script te laten draaien.
    Dit doe je door het script te hernoemen tot 'iptables', het vervolgens executable te maken dmv [code:1:79f756ea26]chmod a+x iptables[/code:1:79f756ea26] en het tenslotte te verplaatsen naar /etc
    c.d/init.d (nadat je natuurlijk het oude iptables script ergens anders hebt opgeslagen).
    De firewall test je op PC Flank. Op deze manier heb ik een firewall gekregen die alle tests glansrijk doorstond en bovendien mijn thuisnetwerkje van internet voorziet. Je leert er ook nog wat van, want de rules in het script zijn goed becommentarieerd, zodat je het script zo kunt aanpassen mocht je later alsnog een extra poort willen openzetten.
  • Ik heb dat ik breedband internet kreeg het Linux Firewalls boek van Ziegler gekocht….. inmiddels is de 2e editie uit…. nooit spijt van gehad. Ik draai nog steeds een firewall op basis van dat boek. Hoop van geleerd.

    Al denk ik wel dat ik binnenkort advanced routing er in ga betrekken…… gewoon om te kunnen experimenteren met het verdelen van capaciteit….. maar uiteindelijk zal de firewall dus gewoon op iptables gebasseerd blijven.
  • dank voor de reacties
  • firestarter werkt inmiddels

    Via grc.com mijn poorten na laten lopen en bewust port 21 in mijn router opengezet.
    grc gaf de meldinf dat alle porten gesloten waren.

    ik kan nu alleen nog ge-pinged worden. Hier zal ik ook wel een oplossing voor vinden
  • Zijn ze echt gesloten of maakt firestarter ze 'stealth'? Dan kan de poortscanner namelijk niet achterhalen of de poort open of dicht staat.
  • Als je niet gepingd wilt worden, voeg dan deze regel toe aan je iptables:[code:1:9301f509c5]/sbin/iptables -A icmp_packets -p ICMP -s 0/0 –icmp-type 8 -j DROP[/code:1:9301f509c5]
  • Dat impliceert dat je regels maakt om iets te blokkeren….. een default allow policy….een betere weg is regels maken om iets toe te staan…… een default deny policy…. sta je niet met je broek op je knieen indien je iets vergeet.

    Ik heb bv een dergelijke regel om pingen juist toe te staan…. vanuit het netblock van me provider…
  • [quote:f71e8d358c="Marcel de Reus"]Zijn ze echt gesloten of maakt firestarter ze 'stealth'? Dan kan de poortscanner namelijk niet achterhalen of de poort open of dicht staat.[/quote:f71e8d358c]

    stealth
  • [quote:157c280169="Bilbo"]Dat impliceert dat je regels maakt om iets te blokkeren….. een default allow policy….een betere weg is regels maken om iets toe te staan…… een default deny policy…. sta je niet met je broek op je knieen indien je iets vergeet.

    Ik heb bv een dergelijke regel om pingen juist toe te staan…. vanuit het netblock van me provider…[/quote:157c280169]

    Boevnstaande gaat niet om policies maar om de FILTER table.
    Ik ben zelf van mening dat ik default alle FILTER policies op DROP zet.
    Het is 'netter' om een deny te geven maar dat zal me een worst zijn.
    Als je geen ervaringen hebt met iptables kan je het beter niet op je gateway of live server zetten maar op een werkstation waar op je flink mag testen.
    Als die rules werken zet je ze live op je gateway/server.
    Ik heb liever 'per ongeluk'dingen dicht staan dan open..nfs en portmapper zijn mooie services maar als je die per ongeluk open laat staan en geen tcp wrappers gebruikt kan je het schudden.
    (tijd voor een poll? default alles drop,deny of accept?) :wink:

    M.
  • [quote:854b0a9e05="MVE"]
    Ik heb liever 'per ongeluk'dingen dicht staan dan open..nfs en portmapper zijn mooie services maar als je die per ongeluk open laat staan en geen tcp wrappers gebruikt kan je het schudden.
    [/quote:854b0a9e05]

    Dat was het punt wat ik wilde maken…. realiseerde me ff niet het verschil tussen drop en deny.
  • Het viel me net op toen ik weer eens switchede van een routertje naar eigen gebakken iptabels met connection tracking hoe leuk het is als je spel foutjes maakt en je helemal rot zoekt waar het fout gaat..of comma's en dergelijke vergeet :lol:
    Maar…ik wil niks liever dan iptables..erg flexibel en bij mijn weten net zo veilig als OpenBSD en Cisco firewalls..
    Wellicht nog flexibeler zelfs ..ip6tables,arptables etc..erg gaaf al zeg ik het zelf :)

    M.
  • ik heb de titel aangepast. Ik heb dus gedaan wat 7_feet_up adviseerde, echter, ik kan nog steeds gepinged worden??

    ik heb weer bewust port 21 opengezet op mijn router. Alweer was alles stealth (grc.com en pcflank)

    echter, op grc.com kwam de melding dat ik gepinged kon worden.
    [code:1:dfa307730d]
    /sbin/iptables -A icmp_packets -p ICMP -s 0/0 –icmp-type 8 -j DROP
    toevoegen werkte niet[/code:1:dfa307730d]
  • [quote:da4a23f360="nefertitis"]echter, op grc.com kwam de melding dat ik gepinged kon worden. [/quote:da4a23f360] Ik neem aan dat je bedoelt TruStealth: Failed. Uit een topic in Beveiling & Privacy begreep ik dat het in de router moet worden ingesteld. http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=112646&highlight=trustealth
  • nee,

    Ik wil dit:
    [code:1:b3a907d524] NO Ping reply (ICMP Echo) was received.[/code:1:b3a907d524]

    nu blijkt als grc.com pingt, mijn computer antwoordt,, dus de test is FAILED.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.