Alle Ports sperren - einzelne freigeben

Chris223 · 24. Mai 2012

Hallo,
ich würde im VCP gerne alle Ports sperren und danach einzelne freigeben. Wie sähe die Konfiguration aus, um erstmal alle Ports zu sperren?

Vielen Dank

[netcup] Alex W. · 24. Mai 2012

Firewall -> Einstellungen -> Standardeinstellung ändern.

Chris223 · 24. Mai 2012

Entweder ich verstehe dich falsch oder du mich
Ich habe das gleiche vor wie der Threadstarter in diesem Thread: Frage zur Firewall in OpenVCP

In Beitrag 2 wird eine Konfiguration vorgeschlagen, leider hat sich das Design/die Konfiguration der Firewall seit 2008 verändert. Deswegen wäre ich dankbar, wenn jemand einen Screenshot o.Ä. postet, wie die Einstellung denn aussehen muss.

Danke!

[netcup] Alex W. · 24. Mai 2012

Dies ist wie beschrieben notwendig. Standardeinstellung auf verweigern setzen heisst nix kommt durch, der Server ist "dicht".

Man muss dann per Accept Regeln das aktivieren was man benötigt.

Chris223 · 24. Mai 2012

Ich habe nun bei Input und Output beides auf verweigern gesetzt, erreiche meinen Server aber im Browser immer noch durch Aufruf über die IP. Wie lange dauern die Änderungen denn ca.?

Danke

KB19 · 24. Mai 2012

Änderungen werden sofort übernommen. Aber ich erinnere mich da an ein Problem, dass die Default Action erst greift, nachdem mindestens eine Regel angelegt wurde. Das könntest du eventuell noch ausprobieren.

MfG Christian

Chris223 · 1. Juni 2012

Danke, das wars.
Jetzt habe ich noch eine Frage dazu:
Habe nun alle Ports gesperrt, bis auf Port 80 INPUT und mein SSH Port. Natürlich funtkioniert jetzt apt-get update nicht mehr, da ich ja auch auf keine anderen Webseiten mehr zugreifen kann:

Code

W: Failed to fetch http://debian.froxlor.org/dists/lenny/Release.gpg  Temporary failure resolving 'debian.froxlor.org'

Hab nun einige mal versucht, den Port 80 freizugeben, aber irgendwie funktionierts nicht. Wie sieht denn dazu die richtige Einstellung aus?

Danke!

KB19 · 1. Juni 2012

Ich würde OUTPUT lieber offen lassen, das erspart einige Probleme. Ohne die wirklich geniale Vielfalt der iptables Module zur Filterung macht eine Firewall für den ausgehendenTraffic leider kaum Sinn.

Andernfalls öffne die Ports für HTTP und DNS für OUTPUT

MfG Christian

Chris223 · 1. Juni 2012

Daran habe ich gar nicht gedacht, danke. Ist wohl die beste Lösung.

fnkr · 1. Juni 2012

Wenn du IPv6 nutzt und die AAAA-Records deiner Domain entsprechend gesetzt hast solltest noch darauf achten die Regeln auch unter IPv6 einzutragen.

Außerdem ist es sehr zu empfehlen die Firewall noch bezüglich des ICMP Protokolls entsprechend zu konfigurieren.

Hier mal eine Empfehlung von mir was bei ICMP alles offen sein sollte: Image 2012-06-01 at 11.14.52 PM.png
Echo Reply (Ping), Time Exeeded und Destination Unreachable

Der Rest ist nicht unbedingt gefährlich, sollte er offen sein, aber so dinge wie Source Quench brauchen andere einfach nicht zu interessieren.