Firewall mit Webmin

[udenhainer]

hallo zusammen,

ich habe bei http://webmin.de.malavida.com/d464-k...download-linux den webmin 1.480 deutsch heruntergeladen. danach habe ich mittels ssh secure shell client die datei in das verzeichnis /tmp auf den server hochgeladen. danach habe ich folgende befehle ausgeführt:

Code:

cd /tmp

Code:

gunzip webmin-1.480.tar.gz

Code:

tar xf webmin-1.480.tar

Code:

cd webmin-1.480

Code:

./setup.sh /usr/local/webmin

die konfiguration habe ich den standard genommen der vorgeschlagen wurde und bei den y/n fragen immer mit y beantwortet. benutzer und passwort wiederholt eingegeben, tja das wars. nun konnte ich über https://meine-ip:10000 mich auf webmin einloggen.

hmmm nun meine frage zur firewall. ist die standard configuration ausreichend?

Code:

# Generated by iptables-save v1.4.0 on Sun Aug 30 14:38:16 2009
*security
:INPUT ACCEPT [1294:173615]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1563:880560]
COMMIT
# Completed on Sun Aug 30 14:38:16 2009
# Generated by iptables-save v1.4.0 on Sun Aug 30 14:38:16 2009
*raw
:PREROUTING ACCEPT [1348:186505]
:OUTPUT ACCEPT [1962:908463]
COMMIT
# Completed on Sun Aug 30 14:38:16 2009
# Generated by iptables-save v1.4.0 on Sun Aug 30 14:38:16 2009
*nat
:PREROUTING ACCEPT [193:19938]
:POSTROUTING ACCEPT [2:88]
:OUTPUT ACCEPT [377:27031]
COMMIT
# Completed on Sun Aug 30 14:38:16 2009
# Generated by iptables-save v1.4.0 on Sun Aug 30 14:38:16 2009
*mangle
:PREROUTING ACCEPT [1348:186505]
:INPUT ACCEPT [1324:184383]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1962:908463]
:POSTROUTING ACCEPT [1563:880560]
COMMIT
# Completed on Sun Aug 30 14:38:16 2009
# Generated by iptables-save v1.4.0 on Sun Aug 30 14:38:16 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8880 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 106 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 9008 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 9080 -j ACCEPT 
-A INPUT -p udp -m udp --dport 137 -j ACCEPT 
-A INPUT -p udp -m udp --dport 138 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT 
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j ACCEPT 
-A INPUT -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -i lo -o lo -j ACCEPT 
-A FORWARD -j DROP 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset 
-A OUTPUT -m state --state INVALID -j DROP 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -j DROP 
COMMIT
# Completed on Sun Aug 30 14:38:16 2009

wenn nicht wie und was muss ich ändern?
nette grüsse mario

[harv]

Hi,

ich sehe du hast meinen Vorschlag umgesetzt ;)

sieht soweit ganz gut aus, du solltest dann aber wenn du dich entschließt die Verwaltung über Webmin zu machen die Firewall von Plesk deaktivieren danach einfach nochmal auf "Apply Configuration" im Webmin klicken damit die Firewall wieder aktiviert wird.

Und dann kommt es darauf an, auf was soll von aussen Zugegriffen werden dürfen? Beispielsweise der 3306 ist der MySQL-Port muss der nach aussenhin offen sein oder reicht es wenn nur dein Server selbst intern darauf zugreift?

Am besten du Listest mir hier mal die Dienste auf, auf die von aussen zugegriffen werden soll dann sag ich dir welche der Regeln verändert werden sollten.

[udenhainer]

Am besten du Listest mir hier mal die Dienste auf, auf die von aussen zugegriffen werden soll dann sag ich dir welche der Regeln verändert werden sollten.

-port 10000 - brauch ich, ist für webmin-zugriff
-port 443 -brauch ich für https-zugriff
-port 8880 - brauch ich für plesk ohne https-zugriff
-port 80 -brauch ich für für http-server
-port 8443 -brauch ich für https plesk-zugriff
-port 21 -brauch ich für ftp-zugriff
-port 22 -brauch ich für ssh-zugriff
-port 25 -brauch ich für email versand
-port 110 - brauch ich für email-client
-port 3306 -brauch ich für zugriff auf mysql könnte man auf nur local stellen, aber was ist wenn ein kunde es auswärts brauch?
-port udp 53 - brauch ich für auflösung von dns-namen
-port tcp 53 - brauch ich für auflösung von dns-namen
-port 465 und 587 oder 995 wäre email über ssl, aber ob ich das brauche???
-port 993 und 143 - denke brauche ich für imap
-port 106 -bräuchte ich falls ich merkury installiert habe
-port 5432 -wäre für postgresql ist jedoch noch nicht installiert
-port 9008 -wäre für spiele
-port 9080 -nutzen manche cams
-port 137 138 139 -Auflösung von NetBIOS-Namen ob ich das brauche keine ahnung
-port 445 -soll ja mehr für windows sein
-1194 -OpenVPN, weiss nicht ob ich das brauche

also wie du siehst, so richtig ahnung habe ich nicht, was ich brauchen und was nicht. hauptsache ist ja das keiner unsinn auf dem server macht.

[harv]

-port 3306 -brauch ich für zugriff auf mysql könnte man auf nur local stellen, aber was ist wenn ein kunde es auswärts brauch?
-port 465 und 587 oder 995 wäre email über ssl, aber ob ich das brauche???
-port 993 und 143 - denke brauche ich für imap
-port 106 -bräuchte ich falls ich merkury installiert habe
-port 5432 -wäre für postgresql ist jedoch noch nicht installiert
-port 9008 -wäre für spiele
-port 9080 -nutzen manche cams
-port 137 138 139 -Auflösung von NetBIOS-Namen ob ich das brauche keine ahnung
-port 445 -soll ja mehr für windows sein
-1194 -OpenVPN, weiss nicht ob ich das brauche

ersteinmal alles deaktivieren was du nicht brauchst und im Zewifel wieder aktivieren falls ein kunde es benötgt und es unbedingt haben möchte (was du deinen Kunden anbietest und was nicht ist deine entscheidung!! Wenn deine Kunden entsprechend für DEIN Rsiko zahlen ist das was anderes aber wenn etwas schief geht werden sie dich dafür verantwortlich machen und jeder Offene Port ist ein risiko für dich, das solltest du nie vergessen.)

port 137 138 139

Per Reject ablehnen, kostet nur resourcen und beschleunigt oft die SMTP&FTP Verbindungs Phase

Also um es zusammenfassen brauchen du und deine Kunden erstmal nur folgende Ports

Code:

21 (FTP)
22 TCP (SHH [eventuell mal auf einen anderen Port verlegen...wenn du nicht weisst wie sagt bescheid...])
25 TCP (SMTP)
53 UDP (DOMAIN)
80 TCP HTTP
110 TCP (POP3)
143 TCP (IMAP)
443 TCP (HTTPS=)
8443 TCP (PLESK [SSL])
8880 TCP (PLESK)
10000 TCP (WEBMIN) (eventuell wie ssh verlegen...)

ist das erstmal richtig oder habe ich noch was vergessen ?

-port 3306 -brauch ich für zugriff auf mysql könnte man auf nur local stellen, aber was ist wenn ein kunde es auswärts brauch?

(Rein rethorisch und auch nur als beispiel, musst du selbst entscheiden: wie sicher sind die passwörter von dir? Und wie sicher sind die Passwörter deiner Kunden? Als nächste Überlgegung: Angenommen die sind "sicher" [alle Passwörter haben Zeichen, Zahlen, Buchstaben groß sowie klein und haben mindestens 8 Zeichen) Möchtest du resourcen verschwenden für eventuelle Bruceforceangriffe, obwohl kein oder auch nur ein Kunde externene MySQL zugriff benötig? Für spezeille kundenzugriffe auf spezielle Ports schau auch mal hier rein....)

[udenhainer]

Möchtest du resourcen verschwenden für eventuelle Bruceforceangriffe, obwohl kein oder auch nur ein Kunde externene MySQL zugriff benötig? Für spezeille kundenzugriffe auf spezielle Ports schau auch mal hier rein....)

hi harv,
also habe die meisten ports geschlossen mit drop. 137-139 mit reject. wie kann ich 3306 einstellen nur für local? ist da userspace richtig? den icmp 8/0 will ich eventuell verwenden um den serverstatus zu überwachen.

das mit dem port für ssh muss ich erst prüfen ob 1und1 den 22 nutzt für initialisieren. mit der link ist ja nicht schlecht, aber ich gehe auch über verschiedene anbieter rein. nicht das ich mich da aussperre.

[harv]

-A INPUT -i lo -j ACCEPT

Damit erlaubst du jeglichen Lokalen verkehr

:INPUT DROP [0:0]

Sorgt dafür das alles was nicht explizit erlaubt ist einfach verworfen wird du musst also nur die Regel löschen für die Ports die nicht erlaubt sein sollen, du brauchst diese nicht extra verbieten (ausnahme sind hier 137-139, das REJECT gibt eine Antwort das der Port dicht ist was dafür sorgt das dieser Verbindungsschritt übersprungen wird und nicht erst ein Timout abgewartet wird)

das mit dem port für ssh muss ich erst prüfen ob 1und1 den 22 nutzt für initialisieren

Das konnte ich jetzt nicht ganz verstehen was meinst du?

mit der link ist ja nicht schlecht, aber ich gehe auch über verschiedene anbieter rein. nicht das ich mich da aussperre.

Solange du dafür sorgst das genau dieser PC den dynhostnamen hat sperrst du dich nicht aus (habe das auf einem Laptop eingerichtet so das ich egal wo und bei wem ich bin mit diesem auf meinen Servern Zugriff habe) Es ist auch möglich mehr als nur einen Dynhost zu erlauben einfach das Script nochmal mit einer anderen Domain aufrufen....

Du kannst den MySQL Server auch anweisen das dieser nur Lokal arbeitet. Dazu öffnest du die /etc/my.cnf suchst nach

Code:

[mysqld]

und fügst unterhalb davon

Code:

skip-networking

ein danach ein

Code:

/etc/init.d/mysql restart

und Mysql horcht nur noch lokal und über die SOCKETS (ist bei mir überall so gibt keine probleme mit den anwendungen die über den Apache zugreifen...)

[udenhainer]

hallo nochmal....
habe heut mal wieder zeit gefunden weiter zu basteln.

-A INPUT -i lo -j ACCEPT Damit erlaubst du jeglichen Lokalen verkehr

:INPUT DROP [0:0] Sorgt dafür das alles was nicht explizit erlaubt ist

Hab jetzt die meisten ports komplett gelöscht.

[quote:20tktzdj]das mit dem port für ssh muss ich erst prüfen ob 1und1 den 22 nutzt für initialisieren

Das konnte ich jetzt nicht ganz verstehen was meinst du?[/quote:20tktzdj]

nunja über 1&1 kann man über eine serielle konsole auf den rechner zugreifen. diese nutzt wie ich nun getestet auch den port 22.

Solange du dafür sorgst das genau dieser PC den dynhostnamen hat sperrst du dich nicht aus (habe das auf einem Laptop eingerichtet so das ich egal wo und bei wem ich bin mit diesem auf meinen Servern Zugriff habe) Es ist auch möglich mehr als nur einen Dynhost zu erlauben einfach das Script nochmal mit einer anderen Domain aufrufen....

hab mir nun nen laptop bestellt, werde es dann testen. hoffe das ich mich nicht aussperre.

Du kannst den MySQL Server auch anweisen das dieser nur Lokal arbeitet. Dazu öffnest du die /etc/my.cnf suchst nach

Code:

[mysqld]

und fügst unterhalb davon

Code:

skip-networking

ein danach ein

Code:

/etc/init.d/mysql restart

Super Idee habs gleich gemacht, brauchte nur den kommentar entfernen (#)

danke für die tipps...

[harv]

hoffe das ich mich nicht aussperre.

dann sorg dafür das nach einem neustart die firewall nicht mitgeladen wird so kannst du im zweifelsfall falls du irgendetwas falsch machst den server neustarten lassen und kannst wieder ran

Edit: das solltest du natürlich immer nur zu testzwecken machen