IP-Adressen - Firewall

[drubi]

Hallo zusammen,

Wie sieht es denn aus wenn man beim einrichten der Firewall bestimmte IP-Adresse den Eingang bzw. Ausgang erlauben oder verbieten will?

Die IP-Adressen ändern sich doch jeden Tag oder fast jeden Tag.

Nicht das man am nächsten Tag kein Zugang zum Server mehr hat weil sich die IP-Adresse geändert hat.

Wie ist es denn wenn man eine weitere IP-Adresse hinzufügen will um den Eingang bzw. Ausgang zu Port X erlauben oder verbieten will?

Müssen die davor hinzugefügen IP-Adressen beim Hinzufügen einer weiteren aktualisiert werden?

Was meint ihr?

Gruß
Drubi

[Nerion]

Ich halte es für absoluten Blödsinn, das auf IP-Basis zu machen, wie du bereits gesagt hast, bringt es nichts, da die IPs sich ständig ändern.

Wichtig ist.

Alle Ports zu, die du nicht brauchst. Das ist der beste Schutz.
Dann eventuell noch sowas wie fail2ban installieren um Brute-Force-Attacken abzublocken.
Immer die aktuellsten Sicherheitsupdates drauf haben
Passwort mit Zahlen, Buchstaben, Sonderzeichen

Dann bist du ziemlich sicher.

[drubi]

Meine Bedenken:

Ich hatte Gestern für die Verwaltungsoberfläche von Plesk den Eingang von nur eine bestimmte IP-Adresse erlaubt.

Heute morgen habe ich festgestellt das sich die IP geändert hat.

Das Login in Plesk hat trotzdem geklappt.

Kann es sein das Plesk intern die IP-Adressen bei jeder IP-Änderung automatisch vornimmt?

Anders kann ich mir das erfolgreiche Login trotz der IP-Änderung nicht erklären.

Gruß

Drubi

[Nerion]

Dann hast du deine Firewall falsch konfiguriert, wenn du gesagt hast außer IP xyz darf niemand auf Port 8443 reinkommen, dann darf da niemand reinkommen.

[Veritas]

Sofern du aber eine feste IP Range bei deinem Provider hast kannst du den Zugriff auf deine Range eingrenzen (siehe Wiki: CIDR).

Es gibt auch bessere Alternativen wie beispielsweise Port Knocking, fwknop oder Ähnliches, welche den Port nachdem man beispielsweise beim Port Knocking diverse Ports nacheinander mit UDP Packeten bewirft, und dann für die IP die Firewall für einen gewissen Zeitraum geöffnet wird.

[drubi]

Ich frage mich da nur wozu den bein den Einstellungen der Firewall das Hinzufügen von IP-Adressen bzw. das erlauben oder verbieten von IP-Adresse Sinn macht wenn sich doch die IP-Adressen ständig ändern?

Wie sieht es mit das Hinzufügen von Netzmasken?

Zu erwähnen sei noch das ich beide Firewalls laufen lassen (suse und plesk).

[Veritas]

Ich frage mich da nur wozu den bein den Einstellungen der Firewall das Hinzufügen von IP-Adressen bzw. das erlauben oder verbieten von IP-Adresse Sinn macht wenn sich doch die IP-Adressen ständig ändern?

Wie sieht es mit das Hinzufügen von Netzmasken?

Ja einzelne IP Adressen machen erstmal gar keinen Sinn, außer für einen kurzen Zeitraum. In meinem vorherigem Post hab ich dir noch Advice gegeben um Netzmasken (zumindest glaube ich dass du das Richtige meinst) / IP Ranges freizugeben.

Zu erwähnen sei noch das ich beide Firewalls laufen lassen (suse und plesk).

Würde mich schwer wundern wenn die nicht die Gleiche (iptables/ipchains) benutzen ...

[Nerion]

Müsste die gleiche iptables sein.

[drubi]

Kann glaube ich aus folgenden Grund nicht sein:

Ich hab über suse bzw. yast die Firewall aktiviert (Port für Plesk offen) und eingestellt das die Firewall bei Neustart des Servers erst aktiv sein soll.

Darauf hin habe ich auch die Firewall über Plesk aktiviert und den Port für Plesk nur für eine bestimmt IP erlaubt. Anschließend habe ich den Server neu gestartet.

Am nächsten Tag - die IP ist nicht mehr aktuell - müsste ich normalerweise kein Zugang zu Plesk haben. Das ist aber nicht der Fall.

Ich glaube mit dem Neustart wurden die Firewall-Einstellungen die über suse vorgenommen wurden aktiviert. Aus diesem Grund habe ich weiterhin Zugang zu Plesk.

Gestern habe ich das gleich ausprobiert - mit einen anderen Port - ohne einen Neustart über Plesk durchzuführen und somit festgestellt dass so die Firewall-Einstellungen von Plesk übernommen werden.

Warscheinlich sollte ich über yast das aktivieren bzw. aktualisieren der Firewall-Einstellungen bei Neustart des Server deaktivieren zumal meine Plesk-Version - Plesk 8.3 - aktueller ist - suse 10.0 - und somit besseren Firewall-Schutz bieten sollten.

Was meint Ihr?

[Veritas]

Alle Firewall Regeln sind kumulativ, d.h. schließt du alles und machst später in einer erneuten Regel alle Ports offen ist dieser Port auch offen, egal was vorher definiert wurde.

Abgesehen davon wird SuSe keine eigene Firewall entwickelt haben sondern genauso wie Plesk die Linux Kernel internen Iptables/Netfilter benutzen. (dass Plesk diese benutzt kannst du durch die "Vorschau"-Funktion bevor du die Firewall Regeln aktivierst in Plesk sehen, da müsste sowas auftauchen wie /sbin/iptables ...).

[alfmanuel]

...ein Vorschlag am Rande... (so nutze ich es)

Wir haben im Büro eien fixe IP, die haben wir auch freigegeben... (für SSH)
Für den Notfall, bzw. bin ich auch oft mit einer Datenkarte (und Laptop) unterwegs habe ich den Port für VPN (1194??) für alle freigegeben. Da nutze ich den Plesk internen (OpenVPN-) VPN-Server und connecte mich zu meiner Maschine. Für die VPN-IP habe ich alle Ports freigegeben ;)

[drubi]

Hallo zusammen,

hatte folgende Ports geschlossen:

- Systemrichtlinien für einkommenden Traffic und

- Systemrichtlinien für ausgehenden Traffic

und feststellen müssen, dass der E-mail-Verkehr nicht richtig funktionierte.

z.B. verspätetes Senden und Empfangen von E-mails bzw. erst beim Öffnen dieser Ports konnten die zuvor gesendeten Mails gesendet bzw. empfangen werden.

Kann es sein dass ich etwas falsch verstanden habe?

Ich aktivierte bis jetzt diese Richtlinien/Ports nur um Updates herunterzuladen.

Welche Ports öffnen bzw. schließen denn die oben markierten Richtlinien.

[drubi]

Habe vergessen noch zu erwähnen, dass ich bezüglich der Probleme mit dem E-mail-Verkehr den IMAP- (Mailabruf-) Server geschlossen habe und beim POP3- (Mailabruf-) Server nur Port 995 offen habe.

[Veritas]

Ich denke mal dies kommt daher dass der Server diverse Anfragen an andere Server stellt wenn er beispielsweise eine Mail versendet. Dabei gibts halt eine ausgehende Verbindung.

Wenn du per Plesk FW Tool die Mailserver Sachen aktivierst sieht es dann nur ungefähr so aus:
#/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT
Dies erlaubt aber nur den Input, nicht den Output.

Dies ist aber nur jetzt mal eine Vermutung meinerseits, evtl. mal mitüberwachen welche Ports so benutzt werden von den Mailer Daemons?

Achja diese beiden Regeln accepten/droppen alle nicht deklarierten Ports sozusagen als default Option.

[drubi]

Default option: Daran habe ich auch gedacht und aus diesem Grund auch deaktiviert und nur gelegentlich aktiviert.

... evtl. mal mitüberwachen welche Ports so benutzt werden von den Mailer Daemons?


Wie stelle ich das an?

[Veritas]

Würds einfach mal mit netstat probieren.