Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Apache.....server name
View unanswered posts
View posts from last 24 hours

Goto page Previous  1, 2, 3  
Reply to topic    Gentoo Forums Forum Index Dutch
View previous topic :: View next topic  
Author Message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sat Feb 05, 2005 12:11 am    Post subject: Reply with quote

Ik ga er van uit dat je NAT ook graag werkende krijgt :wink:

Nu zijn er verschillende mogelijkheden.
Voor ik de juiste iptables regels kan geven heb ik wel wat informatie nodig:
Beantwoord voor elke computer achter de router de volgende vragen:
1) Wat is het ip van de computer ?
2) Mag deze computer op internet ?
3) Moet je firewall deze computer beschermen ?
Indien ja, beantwoord dan ook vraag 4

4) Draait deze computer servers ?
(Met server bedoel ik elk programma dat luistert op een bepaalde poort naar data van een computer op internet, ZELFS ALS ER NOG GEEN DATA NAAR DE COMPUTER OP INTERNET IS VERSTUURD.) (voorbeelden van servers zijn webservers,ftpservers,p2p programmas (kazaa,mldonkey,...))
Indien ja, probeer dan uit te zoeken op welke tcp of udp poort de servers draaien. Indien je het niet weet zeg dan gewoon de naam van het programma dat server speelt.

5) Mag deze computer alles op internet of alleen bepaalde dingen ?
(vb1: alleen surfen en niet op website x,y en z) (vb2:alles bevalve kazaa gebruiken)
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sat Feb 05, 2005 5:23 pm    Post subject: Reply with quote

NAT werkt wel, alle computers in netwerk hebben Internet verbinding. Maar voor mogelijkheiden bedoel je precies?

1) 82.75.12.31
2)Ja
3)Ja
4)Webserver apache2, en ook mieschien ooit FTP.
5)hij mag op internet, geen kaza
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sat Feb 05, 2005 5:46 pm    Post subject: Reply with quote

De andere computers zouden normaal niet op internet kunnen, je hebt dit laatste commando dat ik aanraadde voor als het niet werkte toch niet gebruikt ?
Code:
iptables -P INPUT ACCEPT && iptables -P FORWARD ACCEPT

Want als je dat hebt gedaan heb je nu geen firewall.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sat Feb 05, 2005 6:18 pm    Post subject: Reply with quote

Klopt ik had dat wel gebruikt omdat ik wou verbinding hebben met internet.
Maar als ik gentoo opstart dan zie ik wel dat firewall wel opstart, alleen ik heb nu geen nat firewall, gewoone firewaal van iptable.

vroeger bij het opstarten starte nat firewall mee,

Iptables NAT firewall starting [ok]
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sat Feb 05, 2005 11:14 pm    Post subject: Reply with quote

Nee, je hebt geen firewall. Iptables draait wel en dit is theoretisch een firewall, maar met die laatste regel heb je gezegd "Laat al het verkeer door, het maakt niet uit wat".
Dus eigenlijk is er geen firewall.

Als je nu alle commandos van mijn howto terug ingeeft (behalve dat laatste natuurlijk) dan heb je een firewall zonder NAT.
Om nu de andere computers in je netwerk op het internet te laten geef je om af te sluiten dit commando:
Code:
iptables -A FORWARD -i eth0 -j ACCEPT


Nu hebben je andere computers een lichte beveiliging. Voor een goede beveiliging ga je de vragen die ik stelde goed moeten beantwoorden.
Uit jouw antwoorden blijkt dat er maar 1 computer achter de router staat ?!? Dit lijkt me vreemd... En het lijkt me nog vreemder dat deze het ip 82.75.12.31 heeft. Dit is een ip dat op internet gebruikt wordt, in thuisnetwerken zijn de ip's 99% van de tijd 10.x.x.x of 192.168.x.x.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Feb 06, 2005 1:19 pm    Post subject: Reply with quote

Nou , ik heb een tekening gemaakt. http://82.75.12.31/test.html

Ben benieuwd welke beveiligingen zijn nog beschikbaar. :roll:
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Sun Feb 06, 2005 2:54 pm    Post subject: Reply with quote

Azerix wrote:
Klopt ik had dat wel gebruikt omdat ik wou verbinding hebben met internet.
Maar als ik gentoo opstart dan zie ik wel dat firewall wel opstart, alleen ik heb nu geen nat firewall, gewoone firewaal van iptable.

Je hebt volgens mij na 3 pagina's Garo nog steeds problemen met de fundamentele concepten van een Linux firewall... ;-)

- iptables is de userspace interface (het programma) naar de Linux kernel netfilter code voor netwerkmanipulatie.
- 1 van de dingen die je met netfilter kan doen is het programmeren van een stateful packet filtering firewall.
Er zijn vele definities van de term firewall, allemaal min of meer correct - afhankelijk van de context waarin ze gebruikt worden.

Een NAT router is de meest eenvoudige implementatie van een gebruikers-firewall (deze beschermt de router zelf NIET!), aangezien met een paar simpele regels het anderen op het Internet fysiek onmogelijk gemaakt wordt om computers op je interne netwerk te bereiken.

Dat is 1 niveau van beveiliging; er zijn nog vele andere.

Een "echte" firewall in de zin van Cisco PIX of CheckPoint beperkt het werkelijke verkeer zowel van buiten naar binnen als ook van binnen naar buiten - alsof er isolatie-materiaal tussen jou en de buitenwereld ligt.
Dit is de klassieke betekenis van het woord firewall.

Voor de thuisgebruiker is NAT dus afdoende; voor een server die services aanbied op het Internet niet.

Tenzij je die server achter de NAT router zet en de poorten die je wilt serveren doorgeeft naar binnen toe - dat is de meest veilige oplossing.

Maar dat kost natuurlijk een extra computer.
_________________
>>> emerge (3 of 7) mcse/70-293 to /
Essential tools: gentoolkit eix profuse screen
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Feb 06, 2005 3:02 pm    Post subject: Reply with quote

Code:
iptables -D FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.18 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.19 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.20 -j ACCEPT


Met deze regels erbij kan niemand jouw computers bereiken, behalve als jouw computers zelf eerst iets naar deze persoon hebben gestuurd.

Er kan ook niemand een computer met jouw switch verbinden en surfen via jouw verbinding, dit is vooral handig voor als je later een accespoint aan deze switch hangt.
(De beveiliging om niet via jouw verbinding te surfen is makkelijk te omzeilen maar het zal toch 50% van de mensen tegen houden. Deze beveiliging kan nog verbeterd worden maar dan heb ik vrij veel info nodig: je DNS-servers en welke computers wat doen op internet (surfen,e-mail,ftp,msn,irc,...), je proxy indien die er is, je mailservers, je ircservers indien je irc gebruikt, je msnservers indien je msn gebruikt, je jabberservers indien je jabber gebruikt en waarschijnlijk nog een paar dingen waar ik nu niet op kan komen).

Op je tekening zie ik dhcp staan, bedoel je daarmee dat je router een ip krijgt van je provider of bedoel je dat al je computers een ip krijgen van de router ?

Als je ftp server ook op internet bereikbaar moet zijn moet je ook nog dit doen:
Code:
iptables -p tcp -A INPUT --dport 21 -j ACCEPT
iptables -p udp -A INPUT --dport 21 -j ACCEPT

_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Feb 06, 2005 3:27 pm    Post subject: Reply with quote

Jah ok, maar ik ga geen cisco router of switch of andere apparaten kopen, die zijn vet duur. Ik denk dat iptables, NAT firewall en een viruscanner zou wel genoeg zijn, voor een PC (gentoo) die word gebrukt als router, internet sharing, sommige servers(apache, ftp en cetc).


http://82.75.12.31/test.html
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Feb 06, 2005 3:45 pm    Post subject: Reply with quote

Quote:

iptables -D FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.18 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.19 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.20 -j ACCEPT


Met deze regels erbij kan niemand jouw computers bereiken, behalve als jouw computers zelf eerst iets naar deze persoon hebben gestuurd.


Het gaat mij meer om de hoofd computer, (Gentoo) Router zelf.

Quote:

Op je tekening zie ik dhcp staan, bedoel je daarmee dat je router een ip krijgt van je provider of bedoel je dat al je computers een ip krijgen van de router ?


Met DHCp bedoel ik dat de Hoofd PC is een router(Gentoo) die functioneert als DHCP. En ip adress 82.75.12.31 is en externet IP die ik van provider krigj en verolgens eth2 en dat intern IP die ik statish ingesteld had 192.168.0.1.

Mijn computers krijgen ip van het hoofd computer (Gentoo router).
Back to top
View user's profile Send private message
garo
Bodhisattva
Bodhisattva


Joined: 15 Jul 2002
Posts: 860
Location: Edegem,BELGIUM

PostPosted: Sun Feb 06, 2005 4:19 pm    Post subject: Reply with quote

Negeer mijn laatste berichtje dan maar, want als je router een dhcpserver is wordt een stuk moeilijker om pc per pc te beveiligen aangezien je 3 pc's altijd andere ip's krijgen. De beveiliging die je nu hebt is voor een thuis netwerk wel genoeg.
_________________
My favorite links this month:
- Surf Random
- Web-based SSH
- Stop Spam
Back to top
View user's profile Send private message
Azerix
Guru
Guru


Joined: 19 Dec 2004
Posts: 346
Location: NL

PostPosted: Sun Feb 06, 2005 4:30 pm    Post subject: Reply with quote

Jah dat denk ik ook. Maar wat adptr net zei over cisco router, Ik heb er over na ged8, ik vraag me af wat is nou better, een apparte router zoals Cisco, 3com of anderen. OF wat ik nou heb gewoon Gentoo gebruiken als router???

Ik weet een ding dat het verschill is tussen aparte router en gentoo, is dat

Gentoo als routers gebruiken - dat is meer software matig
Aparte routers als 3com en cetera - dat net zo veel hardware matig en softwarematig.

Klopt mijn meinig wel?
Back to top
View user's profile Send private message
adaptr
Watchman
Watchman


Joined: 06 Oct 2002
Posts: 6730
Location: Rotterdam, Netherlands

PostPosted: Sun Feb 06, 2005 5:54 pm    Post subject: Reply with quote

Een router is per definitie een software-applicatie, die draait op hardware met meerdere netwerkaansluitingen.

Ik begrijp je verhaal niet helemaal - ik heb nergens gezegd dat je een losse firewall moet aanschaffen, dan heb je niet goed gelezen.

Wat ik geprobeerd heb te doen is een klein beetje uiteenzetten hoe deze concepten in elkaar zitten - zonder al te veel succes zo te zien :(

Er is geen wezenlijk verschil tussen een aparte doos als firewall en een Linux systeem met netfilter - zolang ze goed werken beschermen ze je netwerk.

De criteria zijn - zoals altijd - eenvoud, geld, flexibiliteit.

Een Cisco PIX systeem is waarschijnlijk het meest flexibel, en zeker zwaar degelijk, maar kost je minimaal een slordige 5000 euries.
Een Sweex breedband routertje doet ook wat je wilt, tot op zeker hoogte, en is doodsimpel te bedienen; kost 50 euries.
Een Gentoo doos als router zowel als server is natuurlijk gratis - je hebt em al.
Maar zelf een afdoende netwerkbeveiliging configureren is verre van simpel.

You get what you pay for - always.
_________________
>>> emerge (3 of 7) mcse/70-293 to /
Essential tools: gentoolkit eix profuse screen
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Dutch All times are GMT
Goto page Previous  1, 2, 3
Page 3 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum