Aufgabe der Plesk-Firewall

F

Fireball22

Registered User
Hallo,
in Plesk 7.5.4 Reloaded gibt es ja diese Plesk-Firewall, die sich unter Module aktivieren lässt.

Meine Frage:
Wenn man dort alles zulässt, bringt dann die Firewall trotzdem etwas, oder nicht?
Und frisst diese viel Systemresoucen?

Fireball22
 
Hallo!
Fireball22 said:
Wenn man dort alles zulässt, bringt dann die Firewall trotzdem etwas, oder nicht?
Click to expand...
Nein, was soll sie dann bitte auch machen?
Fireball22 said:
Und frisst diese viel Systemresoucen?
Click to expand...
Definier mal viel. Es muss halt jedes IP Paket durch die Firewall.

mfG
Thorsten
 
Was soll sie den bringen wenn die Firewall mit any-any Regeln konzipiert ist? Unnötiger Overhead.
 
nein, ausser Kernelrechenzeit zu verbrauchen, bringt sie dann genau gar nichts.

Wenn bei jedem Paket ohnehin schon von Anfang an klar ist, dass es akzeptiert wird (alles zulassen), braucht es die ganzen Filterprüfungen gar nicht erst durchlaufen.

Zur Systemlast: Es gibt aktuell kein normalen Rechner, der ein 100 MBit Netz, welches mit minimal grossen IP Paketen ausgelastet ist, verlustfrei in Echtzeit filtern kann.
Ist sicherlich ein Spezialfall, der in der Praxis nicht auftritt.
Aber z.B. ein Floodping kommt dem recht nahe, und kann dir damit recht zuverlässig schon die CPU lahmlegen.

Also entweder filtern, sprich: selektieren, was zugelassen wird und was nicht, wobei beide Gruppen echte, nicht-leere Mengen sein müssen, oder eben den Paketfilter deaktivieren, weil er sonst nur Rechenzeit verbraucht, aber absolut gar nichts bringt.
 
Also scannt diese dann gar nichts durch wenn alles auf "Erlaubt" steht?

Und wie kann ich diese wieder deaktivieren? :D

Aktivieren/Neu einlesen kann ich sie, indem ich ja auf "Aktivieren" klicke, aber da steht nirgends was von Deaktivieren oder "Aus-Schalten"...

Wie stell ich des dann an?

Fireball22
 
Vielen Dank!
Aber wie könnte ich denn beispielsweise dieses Ping-Floating verhindern?
Ich kann dort in diesem Ping-Service Parameter nur Verbieten oder Ports freischalten wählen.

Aber die Hauptfrage is ja jetzt im Moment:
Wie kann ich diese Firewall denn wieder deaktivieren?

Fireball22
 
ich benutze Rate Limits, es werden pro Minute nicht mehr als 12 ICMP echo-requests bearbeitet, der Rest wird gleich gedropped.

Da das hier aber im Plesk-Forum ist, und ich von Plesk keine Ahnung habe, kann ich dir an dieser Stelle leider nicht weiter helfen.

Wenn du das auf der Konsole einrichtest, wird sich das vermutlich nicht mit Plesk vertragen, und du müsstest das bei jedem Reboot neu machen.
 
Achso!
Nein, an der Konsole habe ich nichts gemacht, die Firewall ist direkt über den Modulen abrufbar!

Weiß jemand wie man die wieder deaktiviert?

Fireball22
 
Schonmal mit einem Reboot versucht?
Es kommt nämlich immer auf die Einstellungen an, ob man die Firewall so konfiguriert hat, dass sie nach jedem Neustart automatisch startet, oder ob man sie dann von Hand starten muss...
 
Ahh cool ok, werde ich gleich mal probieren!
Wie kann ich denn dann 100%ig sicherstellen, dass die Firewall deaktiviert ist?
Weil Aktivieren steht ja immer dran!

Fireball22
 
Shell:
Code: 
server> cat /proc/net/ip_tables_names
wenn das dann einen Output in der Art
shell output said:
nat
mangle
filter
Click to expand...

gibt, dann ist der Firewall Code immer noch aktiv, und möglicherweise nur die Regeln leer.

Dann solltest du solltest mal schauen, ob iptables als Modul geladen wurde. Wenn die Regeln leer sind, solltest du auch die Module nicht laden, denn sie bringen dir dann nur zusätzlichen Overhead.

Wenn du aber statt dessen eine Fehlermeldung (not found) erhältst, ist nicht nur keine Regel geladen, sondern das iptables Modul auch nicht geladen. So sollte es sein.

Evtl. ist der Paketfilter Code (netfilter) auch fest im Kernel drin. Allerdings müsstest du das dann von Hand explizit eingestellt, den Kernel kompiliert und eingerichtet haben. Also eher unwahrscheinlich, und nur der Vollständigkeit halber hier erwähnt.
 
Ja genau, das steht dort noch drin!
Leider habe ich so noch nicht viel damit zu tun gehabt, weiß somit auch leider nicht was die iptables sind...
Wie kann ich denn das Modul iptable nicht laden bzw. rausnehmen?
Und wo bekomme ich die Fehlermeldung Not Found?

Fireball22
 
Die Fehlermeldung würdest du bekommen, wenn der Kernel in der aktuellen Konfiguration gar keinen Paketfilter unterstützen würde, also in deinem Fall der Idealfall.

Da das virtuelle Kernelfile existiert, weiss dein Kernel offensichtlich schon mal, was iptables sind.

Poste mal den Output von
Code: 
 lsmod | grep ip
, dann kann man sehen, welche Module geladen sind, und welche davon du noch einsparen kannst.
 
Habe ich eingegeben, es kommt gar nichts:

Code: 
hxxxxxx:~ # lsmod | grep ip
hxxxxxx:~ #

Woran liegt denn das?

Fireball22
 
Es ist kein Modul geladen.

Entweder, du hast den netfilter Code fest im Kernel drin, oder das Modul wurde bereits entfernt.

Da die Table Namen im proc bekannt sind, muss es fest im Kernel drin sein (ausser, die Ausgabe von 'cat /proc/net/ip_tables_names' hätte sich geändert).

Dann musst du dir 'nen anderen Kernel bauen - aber das ist auf einem Server nicht unbedingt anfängertauglich - nur zu leicht bootet der Rechner bei einem kleinen Fehler dann gar nicht mehr. Sollte man also nur machen, wenn man das schon mal auf 'nem lokalen Rechner gemacht hat.
 
Also ich habe es gerade nochmals abgefragt und es steht folgendes dirn:

Code: 
hxxxxxx:~ # cat /proc/net/ip_tables_names
mangle
filter
nat

Fireball22
 
Wie kann ich denn dann das Problem lösen?!
Hilft es was, wenn ich die Firewall ganz simpel "lösche", so wie es im Plesk-Panel möglich ist?

Aber woher bekomme ich diese dann wieder?
Vielleicht brauch ich sie ja doch einmal wieder...

Fireball22
 
Wieder bekommen kannst du sie ganz einfach, in dem du Plesk runterlädst von der offiziellen Page ( http://swsoft.com ).
In der Datei ist ein Ordner:
rpm_SuSE_9.3/opt/modules/

Und da ist die rpm für die Firewall zu finden...

Installieren kannst du diese Pakete mit dem rpm Befehl oder du präparierst den ganzen Ordner als Yast Source.
 
You must log in or register to reply here.
Back
Top