Post by Joerg ThuemmlerPost by Joerg ThuemmlerPost by Klaus BeckerHallo,
hat jemand eine Idee, wie genau ich die Suse-Firewall so konfigurieren
kann, dass man über SSH nur innerhalb des eigenen Subnetzes zugreifen
kann? Meine Rechner haben leider eine IP, die von aussen zugänglich ist
und eine weitere Firwall lässt SSH leider durch.
Oder wäre der hosts.allow/hosts.deny-Mechanismus eher geeignet?
Eigentlich sollten Login-Versuche so früh wie möglich geblockt werden.
Fail2ban habe ich bereits laufen, doch greift mir das etwas zu spät ein.
Vielen Dank für jeden Hinweis
Klaus
Hi,
Port 22 von außen sperren? Ich habe keine SuSE-FW, sondern ein
eigenes iptables-script, aber
Post by Joerg Thuemmler/usr/sbin/iptables -A INPUT --dport 22 ! -s 192.168.0.0/16 -j DROP
sollte sämtliche von außen kommenden Zugriffe auf die ssh stoppen,
wenn man mal annimmt, dass ssh bei Dir auf dem Standard-Port 22 läuft
und Dein
Post by Joerg Thuemmlerlokales Netz 192.168.0.xxx hat
1. Alles, was von draußen kommt, ist verboten
2. Ausgenommen davon sind die folgenden Services (z.B. httpd)
1. Schnittstellen: Netzwerkkarte korrekt der Externen Zone zuordnen
2. Erlaubte Dienste: nur das, was unbedingt nötig ist, auswählen
3. Firewall starten und fertig!
Du brauchst dazu natürlich neben dem Suse-FW-Paket auch das
yast2-firewall-Paket.
Hallo Jörg,
danke für die Antwort.
Genau das ist ja mein Problem. Bisher habe ich es genau so gemacht (über Yast-Firewall).
Post by Joerg Thuemmler1. Schnittstellen: Netzwerkkarte korrekt der Externen Zone zuordnen
2. Erlaubte Dienste: nur das, was unbedingt nötig ist, auswählen
3. Firewall starten und fertig!
Doch dann kann der Rechner von überall her per ssh erreicht werden. Er
soll aber nur innerhalb des eigenen Subnetzes erreicht werden (keine
Privaten IPs!).
"Please note, the current YaST_Firewall does not show nor let you
configure all settings of the firewall. This includes at least reject
configuration (at least one activated by default)."
habe ich mir /etc/sysconfig/SuSEfirewall2 bzw. wie dort beschrieben
/usr/share/doc/packages/SuSEfirewall2/EXAMPLES
Dort wird auf den Eintrag "FW_TRUSTED_NETS" verwiesen. Ich habe bei mir deshalb
FW_TRUSTED_NETS="XXX.XXX.XXX.XXX/24,tcp,22" (XXX.XXX.XXX.XXX/24 = mein Subnetz)
eingetragen.
Das scheint doch genau das zu sein, wonach ich gesucht habe? Oder?
Wäre nett, wenn jemand mal kurz drüber schauen könnte, ob ich jetzt
keinen Fehler gemacht habe. Danke!!
Viele Grüße
Klaus
Hi,
bitte unten unter dem Zitat antworten (->Nettikette)
sorry, bin zu sehr vom 2-Netzwerkkarten-Modell ausgegangen (eine ins
externe, eine ins interne Netz, im internen haben die PCs bei mir keine
eigene FW, bzw. die Windoofs diese mitgelieferte...)
ja, dann sollte das obige wohl passen (eine xxx-Gruppe ist aber zuvielm
es sind nur 3!), das ist sicher das, was bei "Benutzerdefinierte Regeln"
mit Quell-Netzwerk "xxx.xxx.xxx/24" und Zielport "22" rauskommt.
Kannst Du ja auch leicht probieren.
Wobei mir immer noch nicht ganz klar ist, wie man - z.B. von
217.232.44.233 Deine lokale xxx.xxx.xxx.xxx erreichen soll, weil -
vorausgesetzt, Du hast die "xxx" ordentlich aus dem Kreis der für
"private Netze" reservierten IPs genommen - niemand zu Dir durchroutet.
Du kannst eine "192.168.0.1" (unter dieser IP) per Definition nur von
einem "192.168.0.xxx"-PC aus erreichen. Von einem anderen (Sub)netz geht
das doch nur per Masquerading und da hast Du doch dann die Hand drauf?
Das einzige, was ich mir vorstellen könnte, sind diese
DSL-Anschlussdinger, wenn die für mehrere mehrere LAN- oder WLAN-Zugänge
sorgen, also irgenwie zugleich Switch und Gateway sind, davon habe ich
Null Ahnung.
cu
--
www.teddylinx.de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org