Firewall?

fmschrader

Registered User
Hallo zusammen,

existiert eigentlich irgendeine gute Anleitung zur Absicherung des
Vservers mit iptables? Gibt es dafür eine Standardinstallation?
Kann man das komfortabel mit webmin nutzen?

Viele Grüße

Martin
 

Huschi

Moderator
Staff member
Meine übliche Gegenfrage:
Was willst Du damit erreichen/absichern?
Oder genauer: Welche Ports auf denen ein Daemon läuft, willst Du blockieren?

Eine Firewall macht lediglich Sinn, wenn Du ICMP (also Pings) blocken willst. Da Pings aber das beste Mittel ist, um raus zubekommen, ob Dein Server noch lebt... ;)

huschi.
 

fmschrader

Registered User
Hallo Huschi,

Deine übliche Gegenfrage in Ehren, aber mein Anliegen ist halt,
den Server besser abzusichern. Da ich da kein Profi bin, wie
andere hier, stelle ich die Frage halt so allgemein.
Was hältst Du denn für sinnvoll, wenn keine Firewall?
Es nervt mich zB, dass jeder meinen Server aufrufen kann unter
http://web1(und alle anderen webs).meinvserver.vserver.de.
Meine logs sagen mir, daß manche Besucher sehr neugierig sind.
Aber auch gegen Hacker, die meinen Server mißbrauchen wollen,
möchte wenigstens halbwegs abgesichert sein.

Vieleicht hat einer der Erfahrereren hier mal eine
Standardvorgehensweise parat, die er als FAQ zur Verfügung
stellen möchte...

Der Vserver kann ja auch iptables nutzen, auch webmin erlaubt
die Einrichtung von Regeln. Nur wie? Da ich kein Server-/Netztwerkprofi bin, weiß ich nicht, was ich im technischen Sinn
eigentlich will.

Gruß

Martin
 

Huschi

Moderator
Staff member
Sorry, fmschrader, aber ich glaube Du hast den Sinn und Zweck einer Firewall auf einem Server nicht verstanden. (Nicht zu verwechseln mit einer Desktop-Firewall unter Windows)

Ich versuch es mal so:
Eine Firewall betrachtet nur den IP-Verkehr und erlaubt oder block diesen anhand von Regeln. Eine IP-Connection besteht zum Einen aus der Protokoll-Art (TCP, UDP, ICMP), des weiteren aus einer Source-IP und einem Source-Port und zu letzt aus einer Destination-IP und einem Destination-Port. Der Source-Teil wird auch Client und die Destination wird Server genannt.

Regeln einer Firewall beschreiben - kurz ausgedrückt - welche Source-IP/-Port mit welchem Protokoll auf welche Dest.-IP/-Port darf, oder eben nicht darf.
Merke: Hier sind noch keine Domains, Anwendungen, Serverprogramme oder sonst etwas im Spiel. Ist auch gar nicht Sinn und Zweck einer Firewall.

Nun nehmen wir mal Deinen Server. Du hast diverse Serverprogramme am laufen. Z.B. apache, sendmail+popper, ftp und ssh. Damit sind zwangsweise die Ports 80, 25+110, 21, 22 offen. An allen anderen offenen Ports, die Du per Portscan auf Deinem Server findest, hängt ein Serverprogramm, welches diesen Port erst erreichbar macht. Und wenn Du einen solchen Port schließen willst, dann mußt Du das Serverprogramm beenden oder absichern.

Typischer Fall: Port 3306 - MySQL. Dieser Port läßt externe Zugriffe auf Deinen MySQL-Server zu. Du kannst die Zugriffe anhand der MySQL-Benutzerrechte regeln, oder Du schreibt in /etc/my.cnf die Zeile 'skip-networking' in die Rubrik [mysqld] und startest mysql neu. Dann ist der Port auch dicht.

Verstehst Du was ich meine? Nicht eine Firewall bringt den echten Schutz, sondern ein gut konfiguriertes System.

Zu Deinem Problem mit http://web1....
Das läßt sich entweder in Confixx als Admin abschalten (Stichwort 'Standard-Domain'), oder eben per Hand aus /etc/httpd/conf/confixx_vhost.conf austragen.

Und die häufigste Missbrauchgefahr ist momentan der Mailserver. Solange der alles Block, geht es Dir gut... ;)

huschi.
 
Top