Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkkomponenten

 
M0n0Wall sicher ?

geschrieben am 07.04.2006 um 12:18 von (Gast)

Hallo,
ich habe mir letzte Woche mal M0n0Wall gezogen und auf ein
WRAP 1E-2 installiert. Hat auch alles wunderbar funktioniert und ich
komme auch über meine PCs ins Internet.

Natürlich möchte ich jetzt auch wissen, ob die FW auch richtig konfiguriert
ist. Also habe ich einen Online Check durchführen lassen von 2
unterschiedlichen Programmen. Beide, soweit ich das richtig verstanden
habe, behaupten das zwar im Prinzip alles rein, aber nichts vom PC
ins Internet geleitet wird. O.K. ist ja eigentlich nicht schlecht.

Was mich allerdings etwas stuzig macht ist, das aber die Filesharing
Programme alle klappen und das obwohl doch alle Ports, laut dem
Online Check, dicht sein müssten.

Deshalb meine Frage. Warum klappt das mit dem Filesharing und gibt es
eine Anleitung wie man die M0n0wall sicher machen kann.
Bitte für einen Netzwerklaien verständlich erklären ;-)

Gruß
Juppy
 

geschrieben am 07.04.2006 um 15:21 von Mirko

Wenn Du unter Firewall Rules und Firewall NAT keine Ports oder Adressen zugelassen hast, verhindert die m0n0wall den Verbindungsaufbau aus dem Netz zu Dir.

Filesharing funktioniert auch ohne Portweiterleitungen. Wenn Du das nicht möchtest, musst Du die entsprechenden Ports blocken.

Mirko
 

geschrieben am 10.04.2006 um 09:19 von (Gast)

"Mirko" wrote:
Wenn Du unter Firewall Rules und Firewall NAT keine Ports oder Adressen zugelassen hast, verhindert die m0n0wall den Verbindungsaufbau aus dem Netz zu Dir.

Filesharing funktioniert auch ohne Portweiterleitungen. Wenn Du das nicht möchtest, musst Du die entsprechenden Ports blocken.

Mirko


Hi Mirko,
hm ich habe eigentlich gar nichts konfiguriert und die Verbindung zum
Internet klappte trotzdem. Ich hatte eigentlich auch vermutet das bei einer
Neuinstallation gar keine Verbindung klappt und das ich nach und nach die
entsprechenden Ports öffnen müßte um eine Verbindungs zu bekommen.

Aber ich meine auch auf deiner Seite gelesen zu haben, das nach einer
Neuinstallation die Verbindung mit dem Internet sofort klappt.

Deshalb bin ich ein wenig skeptisch.

Gibt es eigentlich Beispiel FW-Regeln, die das ganze ziehmlich sicher machen ??

Gruss
Juppy
 

geschrieben am 10.04.2006 um 14:20 von puppet

Per default werden bei m0n0wall alle eingehenden Verbindungen geblockt, es sei denn es existieren entsprechende Einträge in der NAT Tabelle mit entsprechenden Firewall-Regeln (unter Firewall -> Rules -> WAN).
Weiterhin darf per Default alles vom LAN raus ins Internet (Firewall -> Rules -> LAN) - und auf aufgebauten Verbindungen darf auch empfangen werden.
Du kannst die Default Regel bei LAN natürlich löschen, dann wird auch ausgehend alles geblockt bis du dort auch entsprechende Regeln festlegst. Es empfiehlt sich z.B. DNS (TCP/UDP) nur auf die wirklich verwendeten DNS Server zu begrenzen, dito für POP3/IMAP und SMTP. Für HTTP/HTTPS empfiehlt sich eigentlich ein Proxy. Dazu bietet sich Squid an (gibt es bei pfSense z.B. als Modul), da dieser auch Transparent arbeiten kann (du musst also an den Clients nicht extra in den Programmen irgendetwas eintragen, da der Proxy automatisch auf den eingestellten Ports (z.B. 80, 8080 usw.) alle Anfragen abfängt). Und wenn dir dann noch langweilig ist kannst du für HTTP noch eine Authentifizierung einbauen (z.B. mit einem RADIUS Server welchen du dann noch gleich für WLAN Authentifizierung verwendest).
 

geschrieben am 13.04.2006 um 12:17 von (Gast)

Hallo puppet,
danke für deine Tipps. Aber wie gesagt, ich war der Meinung das ich
eigentlich gar nichts an Regeln konfiguriert habe und trotzdem ins INet
gekommen bin. Aber egal, ich gucke zu Hause nochmal.

Noch eine andere Frage. Du hattest von einem Modul ( Proxy ) gesprochen.
Leider finde ich das Squid für die M0n0wall nicht zum downloaden.
Eigentlich finde ich das recht Interesant, denn am liebsten hätte ich es,
wenn jemand der ins INet will, sich auch authentifizieren muß.

Könntest du mir sagen wo ich diese Module für die M0n0wall finde und wie
man sie installiert bzw. auch konfiguriert ?

Gruß
Juppy
 

geschrieben am 13.04.2006 um 16:22 von puppet

"Anonymous" wrote:
Hallo puppet,
danke für deine Tipps. Aber wie gesagt, ich war der Meinung das ich
eigentlich gar nichts an Regeln konfiguriert habe und trotzdem ins INet
gekommen bin. Aber egal, ich gucke zu Hause nochmal.
Ja, per default darf jeder im LAN auf jeden Dienst im Internet (HTTP, POP3, IMAP, SMTP, IRC, usw.) zugreifen (die Regel dafür findest du unter Firewall -> Rules -> LAN). Nur kann kein Rechner im Internet auf einen Dienst in deinem LAN oder auf der m0n0wall (z.B. HTTP, SNMP usw) zugreifen (dies findest du unter Firewall -> Rules -> WAN, ggf. noch NAT).

"Anonymous" wrote:
Noch eine andere Frage. Du hattest von einem Modul ( Proxy ) gesprochen.
Leider finde ich das Squid für die M0n0wall nicht zum downloaden.
Eigentlich finde ich das recht Interesant, denn am liebsten hätte ich es,
wenn jemand der ins INet will, sich auch authentifizieren muß.
Das Proxy-Modul (Squid) gibt es nur für pfSense (bzw. ich habe es noch nicht für m0n0wall gefunden).
Allerdings kannst du die vorherige Authentifizierung auch mit m0n0wall erlidgen. Das ganze nennt sich "Captive Portal". Dort kannst du auch alles nötige einstellen.
 

geschrieben am 18.04.2006 um 09:22 von (Gast)

Hi Puppet,
Also ich habe mir das "Captive Portal" mal angesehen. Und so wie ich das
dort verstanden habe, kann ich wohl bestimmten PCs den Zugang zum INet
ermöglichen. Ohne das sie sich anmelden müssen.

Was ich mir aber so vorstelle ist, das sich der Benutzer an der M0n0wall
anmelden muß und erst dann ins INet kommt.

Hast du evt. eine Anleitung wie man die M0n0wall am besten konfiguriert ?
(auch Firewall technisch)

Gruß
Juppy
 

geschrieben am 18.04.2006 um 12:17 von puppet

"Anonymous" wrote:
Hi Puppet,
Also ich habe mir das "Captive Portal" mal angesehen. Und so wie ich das
dort verstanden habe, kann ich wohl bestimmten PCs den Zugang zum INet
ermöglichen. Ohne das sie sich anmelden müssen.
Was glaubst du, warum es den Punkt "Authentication" gibt? ;)
Wenn das natürlich auf "No authentication" steht ist es klar das jeder rein kommt (Filter/Rules mal vorweg), deshalb solltest du entweder "Local user manager" oder besser "RADIUS authentication" auswählen. Wobei du bei RADIUS natürlich auch einen RADIUS Server benötigst. Aber dies (RADIUS Auth) hat auch den Vorteil, dass du den RADIUS Server gleich mit anderen Zugangskontrollen verwenden kannst (z.B. WLAN Access Points). Den Server musst du natürlich erst irgendwo installieren. Da gibt es sowohl für Win32 als auch für den Tux genug Serverdienste (auch Freeware). Und ja, FreeRADIUS läuft auch unter *BSD, und für pfSense gibt es das auch als Modul ;)

"Anonymous" wrote:
Was ich mir aber so vorstelle ist, das sich der Benutzer an der M0n0wall
anmelden muß und erst dann ins INet kommt.

Hast du evt. eine Anleitung wie man die M0n0wall am besten konfiguriert ?
(auch Firewall technisch)

Gruß
Juppy
Dann musst du eben die Auth entsprechend Konfigurieren. Für HTTP/HTTPS gibt es da z.B. das Captive Portal.

Und in der Dokumentation ist eigentlich alles zur Konfiguration ganz gut beschrieben.
 

geschrieben am 20.04.2006 um 12:06 von (Gast)

Hi puppet,
danke für die Tipps.
Werd es heute Abend dirket mal ausprobieren.

Gruß
Juppy
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.10.2017