Hilfe bei server einstellung und Internet!

[knollo45]

Hallo ich schreib erstma was ich vorhabe :

Also ich möchte mir einen Server mit Ubuntu erstellen, habe alle notwendigen Komponenten eingebaut, so nun mein Probleme: 1. wie komme ich ins internet (habe DSL, modem, schnittstelle eth0) über "sudo pppoeconf" geht es zwar aber kann keine pakete downloaden usw.
2. ich möchte mit einem weiteren ubuntu rechner ins netz und einem windoof rein, was für packete brauche ich und wie muss ich das ganze einstellen.
Ich hoffe das reicht an infos wenn nicht schreiben.
Danke im voraus!

 

[phrenicus]

Hallo,

zu 1.: Der Reihe nach. Netzwerk-Konfiguration sauber aufsetzen, Nameserver in /etc/resolv.conf eintragen, PPPOE konfigurieren. Dann mit ifconfig -a schauen, ob die Schnittstelle dsl0 (oder ppp0) eine IP-Adresse vom Provider bekommen hat.
zu 2.: Geht erst, wenn 1. funktioniert.

Wenn was nicht funktioniert, poste mal die Ausgabe von ifconfig -a. Und nutz die Forensuche. Die Frage gab es hier bestimmt schon zwanzigmal.

Gruß

 

[knollo45]

Hallo Dank dir also ich würde sagen 1. ist erledigt:

eth0 Protokoll:Ethernet Hardware Adresse 00:50:BF:1D:47:92
inet6 Adresse: fe80::250:bfff:fe1d:4792/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:36945 errors:0 dropped:0 overruns:0 frame:0
TX packets:33031 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:47553277 (45.3 MiB) TX bytes:2814165 (2.6 MiB)
Interrupt:5 Basisadresse:0xcc00

eth1 Protokoll:Ethernet Hardware Adresse 00:20:18:8A:2B:9B
inet Adresse:192.168.111.1 Bcast:192.168.111.255 Maske:255.255.255.0 inet6 Adresse: fe80::220:18ff:fe8a:2b9b/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1240314 errors:0 dropped:0 overruns:0 frame:0
TX packets:1224324 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:877113207 (836.4 MiB) TX bytes:92948189 (88.6 MiB)
Interrupt:11 Basisadresse:0xd000

lo Protokoll:Lokale Schleife
LOOPBACK MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

ppp0 Protokollunkt-zu-Punkt Verbindung
inet Adresse:88.73.183.28 P-z-P:88.73.176.1 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:36781 errors:0 dropped:0 overruns:0 frame:0
TX packets:32846 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:3
RX bytes:46734071 (44.5 MiB) TX bytes:2077989 (1.9 MiB)

sit0 Protokoll:IPv6-nach-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

aber nu zu zweitens

Danke schön !!!!!!!!!!!! :-)

 

[mcas]

Am besten machst du dir IPTables drauf und machst dann ein NAT. Beispiele und How-Tos findest du bei google unter den beiden Stichwörtern bestimmt genug.

 

[NiceDay]

Btw ich finde den Generator unter http://harry.homelinux.org/modules.php?name=iptables_Generator auch immer ganz gut.

 

[knollo45]

Danke erstma ich versteh bloß eine befehlszeile von ihm nie:
chmod 755 /etc/init.d/firewall
cd /usr/sbin
ln -s ../../etc/init.d/firewall rcfirewall
chkconfig -a firewall
rcfirewall start

MFG Rico

 

[phrenicus]

Hallo,

cd /usr/sbin
ln -s ../../etc/init.d/firewall rcfirewall

Hier wird in /usr/sbin ein symbolischer Link namens "rcfirewall" angelegt, der auf ../../etc/init.d/firewall verweist. Ich glaube, das ist irgendwie SuSE-spezifisch ;-)

Gruß

 

[knollo45]

Das problem was ich da jetzt habe ist das ich kein Suse mehr habe sonder Ubuntu 6.06 LTS
geht das da genauso???

MFG Rico

 

[phrenicus]

Hallo,

es ist nur ein symbolischer Link. Wichtig ist, dass das Start-/Stop-Skript in /etc/init.d liegt. Ich habe keine Ahnung, ob bei Ubuntu auch irgendwelche rc-Links in /usr/sbin angelegt werden. Ich hab grade kein Ubuntu laufen.
Für Dich zählt nur, ob Du die Firewall mit

/etc/init.d/firewall start

oder mit

rcfirewall start

starten willst.

Gruß

 

[knollo45]

Danke, aber (man merkt das ich noch nie lange mit Ubuntu(linux) arbeite)
die firewall hab ich nu gehts weiter jetzt funktioniert samba wieder niemehr.
ich kann meinen pc im netzwerk auch nicht mehr an pingen die haben keine verbindung mehr ?????
Entweder ich bin zu blöde, oder ich übersehe was.

MFG Rico

 

[phrenicus]

Hallo,

tja, Deine Firewall-Einstellungen sind wohl etwas zu strikt.
Du hast vermutlich alles dicht gemacht. Das solltest Du nach außen hin auch, aber für das innere Interface solltest Du wohl einige Ports erlauben, wie z.B. ssh oder auch SAMBA, wenn Du es brauchst. Desgleichen ist es ziemlich unsinnig, ping-Anfragen zu verwerfen.
Was für ein Firewall-Skript verwendest Du? Wie sind die Regeln? Kannst Du das mal posten?

Gruß

 

[knollo45]

#!/bin/bash
# ---------------------------------------------------------------------
# Linux-iptables-Firewallskript, Copyright (c) 2006 under the GPL
# Autogenerated by iptables Generator v1.20 (c) 2002-2005 by Harald Bertram
# Please visit http://www.harry.homelinux.org for new versions of
# the iptables Generator (c).
#
# This Script was generated by request from:
# ********** on: 2006-8-20 9:21.10 MET.
#
# If you have questions about the iptables Generator or about
# your Firewall-Skript feel free to take a look at out website or
# send me an E-Mail to **********.
#
# My special thanks are going to Lutz Heinrich (trinitywork at hotmail dot com)
# who made lots of Beta-Testing and gave me lots of well qualified
# Feedback that made me able to improve the iptables Generator.
# --------------------------------------------------------------------
#
### BEGIN INIT INFO
# Provides: IP-Paketfilter
# Required-Start: $network $local_fs
# Required-Stop: $local_fs
# Default-Start: 3 5
# Default-Stop: 0 1 2 4 6
# Short-Description: Harry's IP-Paketfilter
# Description: Harry's IP-Paketfilter provides reasonable
# IP-Security for Home-Computers and small networks
### END INIT INFO
#

case "$1" in
start)
echo "Starte IP-Paketfilter"

# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP

# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 80 -j ACCEPT

# HTTPS
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 443 -j ACCEPT

# POP3
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

# POP3S
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 995 -j ACCEPT

# FTP
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

# SSH
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT

# EDONKEY
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4661 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 4663 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 4665 -j ACCEPT

# ICMP Echo-Request (ping) zulassen und beantworten
iptables -A INPUT -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT

# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT

# Masquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# SYN-Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null

# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done

# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done

# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done

# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done

# BOOTP-Relaying ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done

# Proxy-ARP ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done

# Ungültige ICMP-Antworten ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null

# ICMP Echo-Broadcasts ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac

ich hoffe das hilft dir etwas!!

Ich Dank dir (euch) wie verrückt für deine Hilfe!!!!

 

[phrenicus]

Hallo,

Junge Junge, dieses Firewall-Skript ist starker Tobak.
Du hast daran gedacht, E-Donkey fürs Internet freizuschalten, aber den Zugriff von innen hast Du vergessen. Die Jugend von heute hat einfach andere Prioritäten

Also, zunächst mal grundsätzlich: Du hast eine Default-Policy, die alles verbietet. Soweit kann ich das nachvollziehen, das ist gute Praxis. Jetzt musst Du aber schon dafür sorgen, dass die Sachen reindürfen, die Du erlauben willst, UND DIE ANTWORTEN AUCH WIEDER RAUS DÜRFEN!
Soweit ich beim Überfliegen gesehen habe, erlaubst Du eingehende pings und eingehende TCP-Verbindungen für http, https, pop3, pop3s, ftp (sic!) und ssh. Das ganze übrigens nur für das Interface ppp0. Für eth1 (Dein inneres Interface) ist alles verboten, von innen kommst Du also gar nicht drauf. Die Default-Policy ist DROP. Ich hab es nicht ganz durchanalysiert, aber es fehlt zumindest der Zugang von innen (und zwar komplett).

Grundregel beim Firewall bauen mit iptables: Die speziellen Regeln kommen zuerst, die allgemeinen später.
Ich kann mir nicht helfen, aber das Skript erscheint mir von der Reihenfolge her nicht besoners optimal. Die ganzen "echo xy > /proc/sys/net/*" sind mir zu weit hinten, das Connection Tracking dagegen zu weit vorne.

ZUnächst solltest Du also den Zugriff von innen auf die relevanten SAMBA-Ports erlauben (ein Blick in /etc/services schadet auch nicht):

iptables -A INPUT -i eth1 -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 137 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 445 -j ACCEPT

Der Output müsste dann auf Grund des Connection Trackings erlaubt sein.
ssh von innen zu erlauben ist auch keine schlechte Idee (Fleißarbeit für Dich). Dafür würde ich so manches von außen verbieten, was Du erlaubt hast, z.B. FTP...

Gruß