Frage zur Firewall in OpenVCP

  • Huhu, ich habe mal eine kleine Frage zur Firewall funktion im OpenVCP.


    Ich habe mich nun mal etwas damit beschäftigt, stoße jedoch auf folgendes Problem:


    Ich möchte z.B alle Ports schließen bis auf den Port 80. Nun dachte ich mir wie mit IPTables einfach die Regel festlegen das alle Ports geschlossen sind gefolgt von der Regel Port 80 = offen.


    Nun ist meine Frage wie ich dies mit der OpenVCP Firewall funktion so einrichten kann. Oder ist es nur möglich einzelne Ports festzulegen?


    In diesem Sinne danke ich für Antworten.

  • Als Tipp für alle: Reihenfolge beachten! Die DROP Regel, die alles sperrt, muss am Ende aller Regeln stehen, sonst funktioniert es nicht. Eine Möglichkeit Regeln nach oben oder unten zu verschieben wäre somit sehr praktisch. Denn so muss man die DROP Regel jedes mal löschen und neu anlegen, wenn man andere Regeln hinzufügt.


    Achja: Danke für den Tipp Oli :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo,


    zu der Firewall hätte ich auch noch einen Verbesserungsvorschlag. Es wäre sehr hilfreich Regeln aktivieren und deaktivieren zu können. Ich habe z.B. immo alles gesperrt außer Port 80. Damit komme ich nicht per SSH oder FTP auf den Server. Hin und wieder möchte ich aber über diese Kanäle auf den Server zugreifen. Dazu muss ich immer die DROP-Regel löschen und hinterher wieder anlegen....


    Grüße
    Kay

  • Also ich würde mir ebenfalls eine Möglichkeit wünschen die Regeln nachträglich zu sortieren. :)
    Will man derzeit eine bestimmte Hierarchie erzeugen und muss diese nachträglich mal ändern muss man gleich alle Regeln neu anlegen. :(

  • Zitat von Nexan;4971

    Also ich würde mir ebenfalls eine Möglichkeit wünschen die Regeln nachträglich zu sortieren. :)
    Will man derzeit eine bestimmte Hierarchie erzeugen und muss diese nachträglich mal ändern muss man gleich alle Regeln neu anlegen. :(


    dieses problem hab ich auch. eine sortierfunktion für die regeln wäre sehr nützlich, sonst gibt es jedesmal einen relativ grossen aufwand mit löschen und neu hinzufügen. aktivieren/deaktivieren wär auch nett.

  • Wer einfach nur Dienste von der Außenwelt abschneiden will, kann auch einfach mit einem Lokalen Netzwerkinterface arbeiten. Kann man sich kostenlos vom Support anlegen lassen.


    Dann kann man beispielsweise beim MySQL Server einfach die bind-address ändern. Schon ist er "von außen" nicht mehr erreichbar.


    Nur um mal eine Alternative zu nennen...

  • Zitat von freepers;5703

    Habe nur' ne' Antwort auf die andere Frage bekommen ;)


    Es ist empfehlenswert Fragen an einen Support (nicht nur hier) durchzunummerieren und gleich am Anfang irgendwo die Gesamtzahl zu schreiben. Sonst gehen manche Fragen bei der Beantwortung leider schnell unter, habe ich auch schon oft wo erlebt. :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Jo, hab ich nochmal gemacht.


    Support ist echt genial :)
    5 Min. dauert bei netcup normal ne' Antwort.


    Soll jetzt freigeschaltet sein, mal schauen.
    Zur Zeit noch nicht, aber wir wissen ja, wie das mit Aktualisierungen etc. ist ;)


    Grüße & schönen Tag noch ;)

  • Zitat von freepers;5714

    Zur Zeit noch nicht, aber wir wissen ja, wie das mit Aktualisierungen etc. ist ;)


    Eventuell mal neu einloggen ins VCP, vielleicht werden die Befugnisse zwischengespeichert ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat von dominusnoctae;5536

    Das würde ich mir auch wünschen, die Firewallfunktion ist super,aber die Möglichkeit der Bearbeitung, aktivierung und deaktivierung von Relegn und eine Sortierung wären super


    Da kann ich mich nur anschließen. Die Bearbeitung der Firewallregeln ist sehr umständlich. Deshalb ein paar Vorschläge:


    - für jede Regel einen Up- und Down-Button, eine Checkbox zum Aktivieren und ein Kommentarfeld, damit man nach einem halben Jahr noch weiß, wofür die Regel gedacht war


    - eine "Any"-Option für die Protokollauswahl, damit man nicht drei Regeln für ICMP, TCP und UDP anlegen muss


    - Radio-Button, um zwischen "Accept" und "Drop" als Default Policy umzuschalten


    - Eine Drop-Down-Box mit Protokoll-Namen, über die man das Port-Feld vorbelegen kann (ausparsen von http://www.iana.org/assignments/port-numbers)


    Die Firewall sollte übrigens bei jedem neuen Vserver aktivert sein, da ein Betrieb ohne Firewall grob fahrlässig ist und eine Mitstörerhaftung begründet!

  • Folgendes ist mir gestern aufgefallen :o


    Wenn man folgenden Aufbau hat, vereinfacht dargestellt:

    Code
    ACCEPT FROM foo.bar.com PORT 1234
    DROP PORT 1234


    Und dann eine weitere ACCEPT Regel anlegt und nochmals die bereits existierende DROP Regel, dann sieht der Aufbau nachher so aus:

    Code
    ACCEPT FROM foo.bar.com PORT 1234
    ACCEPT FROM blah.foo.bar.com PORT 1234
    DROP PORT 1234


    Dann wäre die Deny Regel ganz unten und beide ACCEPT Regeln sollten gelten. Das tun sie aber nicht, da die DROP Regel noch immer an der selben Stelle arbeitet, wo sie vorher war (also nach dem ersten ACCEPT) und die zweite ACCEPT Regel somit ignoriert wird. Also entweder sollte es hier eine Überprüfung geben, ob die Regel schon existiert oder die Regel muss beim erneuten Anlegen auch wirklich ans Ende verschoben werden, aber eben nicht nur bei der Anzeige im openVCP sondern auch wirklich im System ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Dazu sag' ich nur http://de.wikipedia.org/wiki/Firewall-Regelwerk#Sicherheitsgrunds.C3.A4tze ;)


    "ACCEPT" als Default Policy ist, wie wenn man Fenster immer offen stehen hat und beim Weggehen die Fenster, durch die kein Einbrecher kommen soll, zumacht - irgendein Fenster vergisst man immer ...


    Deshalb ist die Goldene Regel:
    INPUT Default Policy = Drop/Reject
    INPUT ACCEPT Related, Established
    INPUT ACCEPT state NEW <your services>


    und die Default Policy für OUTPUT kann dann "ACCEPT" sein, wenn man von sicheren Anwendungen auf dem eigenen Server ausgehen kann.


    Ach ja, ICMP nicht vergessen, wegen Fehlermeldungen und Bandbreitenanpassung ;)