er is iets wat ik niet goed snap :-)
ik zit dus achter een router én heb firewall aan.
router is potdicht en de firewall ook, (heb firewallregels bewerkt onder kmyfirewall of via mcc).
nu ga ik ervanuit dat er niets meer binnen of buiten zou kunnen, maar toch kan ik nog surfen en mijn mail wordt opgehaald enzo...
eigenlijk zou dat dan toch niet meer mogelijk mogen zijn?
dat geeft mij een vals veilig gevoel
als ik vroeger in windows nog maar zonealarm installeerde, kon ik zelfs geen webpagina meer opvragen zonder eerst die firewall in te stellen dat hij deze doorliet...
Dus hoe kan ik zien en iptables instellen dat enkel hetgeen ik toelaat nog zijn ding kan doen?
want wie weet wat gebeurt er dan nog allemaal?...
dus eigenlijk, hoe zet je linux écht potdicht? want daar schijn ik niet in te slagen
Volledige versie: [security] iptables
Een firewall werkt met rules, en die rule-sets zijn hierarchies ingedeeld.
Normaliter (ofwel standaard) staan deze zo ingesteld dat het verkeer altijd wel van binnen naar buiten mag maar niet andersom.
In grote netwerken (lees grote bedrijven) wardt beidden dus potdicht gezet en mag je alleen maar doen wat het bedrijf je toe laat, zo wordt dan bijv poort 80 opengezet om te surfen, en zelfs die poort kan weer gefilterd worden op bepaald soort sites.
Met een PC wil men vaak internetten dus vandaar dat de huit tuin en keuken routers hierop worden ingesteld zo ook de Firewalls coor de SOHO applications.
Normaliter (ofwel standaard) staan deze zo ingesteld dat het verkeer altijd wel van binnen naar buiten mag maar niet andersom.
In grote netwerken (lees grote bedrijven) wardt beidden dus potdicht gezet en mag je alleen maar doen wat het bedrijf je toe laat, zo wordt dan bijv poort 80 opengezet om te surfen, en zelfs die poort kan weer gefilterd worden op bepaald soort sites.
Met een PC wil men vaak internetten dus vandaar dat de huit tuin en keuken routers hierop worden ingesteld zo ook de Firewalls coor de SOHO applications.
QUOTE(Tux)
Normaliter (ofwel standaard) staan deze zo ingesteld dat het verkeer altijd wel van binnen naar buiten mag maar niet andersom.
ik begrijp wat je zegt en ik vind dat maar zorgwekkend eigenlijk..
op win bestond er iets als een trojaans paard, als er niets naar buiten toe geblokkeeerd wordt dat kan die al je gegevens toch verzenden? ok, de kans is waarschijnlijk enorm miniem, maar niet totaal onbestaande dat dat op mijn mandy ook gebeurt, dus:
ik zou willen bekomen: *niets* is toegestaan, tot een service wat wil gaan doen, dat ik het eerst gevraagd wordt of dat ok is en op die manier mijn firewall kan trainen
bestaat dat niet ? :-)
of moet ik aan het scripten dan..
Anika, ik weet niet precies hoe dit in zijn werk gaat met een Linux-firewall. Maar ik weet wel dat dit mogelijk was onder Windows. :oops: Dus dan zal het ook wel met Linux mogelijk zijn.
Je moet in eerste instantie je interne firewall van je router uitschakelen en je router forwarden naar het IP-adres van je pc. Daar kun je dan je firewall, afhankelijk van welke firewall je hebt, je firewall zo instellen dat alles dicht zit. En iedere keer als er iets verbinding wil maken met internet, verschijnt er vervolgens een melding in beeld, met de vraag of jij dat goedkeurt.
Heb dat zelf ook een tijdje gehad onder Windows, met dezelfde onderliggende gedachte als bij jou, alleen wordt je op een gegeven moment echt helemaal simpel
van al die melidngen. Dus wees gewaarschuwt. .gif)
Je moet in eerste instantie je interne firewall van je router uitschakelen en je router forwarden naar het IP-adres van je pc. Daar kun je dan je firewall, afhankelijk van welke firewall je hebt, je firewall zo instellen dat alles dicht zit. En iedere keer als er iets verbinding wil maken met internet, verschijnt er vervolgens een melding in beeld, met de vraag of jij dat goedkeurt.
Heb dat zelf ook een tijdje gehad onder Windows, met dezelfde onderliggende gedachte als bij jou, alleen wordt je op een gegeven moment echt helemaal simpel
van al die melidngen. Dus wees gewaarschuwt.
QUOTE(Anika)
ik begrijp wat je zegt en ik vind dat maar zorgwekkend eigenlijk..
op win bestond er iets als een trojaans paard, als er niets naar buiten toe geblokkeeerd wordt dat kan die al je gegevens toch verzenden? ok, de kans is waarschijnlijk enorm miniem, maar niet totaal onbestaande dat dat op mijn mandy ook gebeurt, dus:
op win bestond er iets als een trojaans paard, als er niets naar buiten toe geblokkeeerd wordt dat kan die al je gegevens toch verzenden? ok, de kans is waarschijnlijk enorm miniem, maar niet totaal onbestaande dat dat op mijn mandy ook gebeurt, dus:
Je ontkomt er niet aan dat er ook naar buiten poorten open moeten staan (bijv 80) en dus kunnen deze dan gebruikt worden.
QUOTE(Anika)
ik zou willen bekomen: *niets* is toegestaan, tot een service wat wil gaan doen, dat ik het eerst gevraagd wordt of dat ok is en op die manier mijn firewall kan trainen
bestaat dat niet ? :-)
of moet ik aan het scripten dan..
Niets toestaan kun je ook door je pc loskoppelen van je netwerk :-)
Binnen grote ondernemingen wordt vaak iets gebruikt als een "reverse proxy". Jouw verkeer gaat dan naar een server die een firewall heeft die jouw als 'buiten' beschouwd en vervolgens is zijn 'binnen' het internet waar alles openstaat.
het idee zou zijn router (met firewall bescherming van buiten) -> reverse proxy (bescherming van binnen) -> pc
Heb dit zelf nooit nergezet en je moet wel goed in de gaten hebben welke delen van je netwerk welke wat mogen.
Anika,
Je hebt een paar opties:
Een router nemen met deze functionaliteit (voor heel je LAN).
Een proxy servertje maken welke dit wel kan (voor heel je LAN).
Of op je locale machine een firewall gebruiken die dit ondersteunt, de nieuwe Firestarter kan dit Shorewall kan het en je kan natuurlijk zelf het iptables script manipuleren.
Tja wat is zorg wekkend..... je zou ook een analizer der tussen kunnen zetten om te kijken wat er gebeurd zoals IPtraf of tcpdump ed.
Wil je zeker van je zaak zijn gebruik je 1 van bovenstaande opties, ik zou zelf gaan voor oplossing 2 denk ik
Je hebt een paar opties:
Een router nemen met deze functionaliteit (voor heel je LAN).
Een proxy servertje maken welke dit wel kan (voor heel je LAN).
Of op je locale machine een firewall gebruiken die dit ondersteunt, de nieuwe Firestarter kan dit Shorewall kan het en je kan natuurlijk zelf het iptables script manipuleren.
Tja wat is zorg wekkend..... je zou ook een analizer der tussen kunnen zetten om te kijken wat er gebeurd zoals IPtraf of tcpdump ed.
Wil je zeker van je zaak zijn gebruik je 1 van bovenstaande opties, ik zou zelf gaan voor oplossing 2 denk ik
hmm, ik heb hier al iets interessants gevonden dat ik eens ga bekijken
ik denk dat het dat is wat ik zoek, dat wordt weer een ganse studie dus..
ik denk dat het dat is wat ik zoek, dat wordt weer een ganse studie dus..
Succes !
dank je, kzal het nodig hebben want das nie simpel eigenlijk
want het vraagt wel wat inspanning
heb nog een interessant linkje gevonden voor wie er ook nog niets van weet en iets wil van gaan snappen..
want het vraagt wel wat inspanning
heb nog een interessant linkje gevonden voor wie er ook nog niets van weet en iets wil van gaan snappen..
Anika, bedankt voor de linkjes.
Hoop dat ik na het lezen er van, er wat meer van zal snappen.
Hoop dat ik na het lezen er van, er wat meer van zal snappen.
QUOTE(Gul Dukat)
Anika, bedankt voor de linkjes.
Hoop dat ik na het lezen er van, er wat meer van zal snappen. :)
Hoop dat ik na het lezen er van, er wat meer van zal snappen. :)
idem dito
Dit is een "Print" versie van onze forums. Om de volledige versie met meer informatie, afbeeldingen en opmaakte bekijken, a.u.b. klik hier.