Zum Inhalt springen
Zuletzt geändert von Tobias Wintrich am 2022/10/28 12:30
Von Version 4.1
bearbeitet von Tobias Wintrich
am 2022/10/28 09:49
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 13.1
bearbeitet von Tobias Wintrich
am 2022/10/28 10:16
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,5 +1,7 @@
1 -Das RangeeOS stellt keine Grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
1 +Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
2 2  
3 +{{toc/}}
4 +
3 3  = Voraussetzung =
4 4  
5 5  Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein.
... ... @@ -8,43 +8,51 @@
8 8  Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]]
9 9  {{/info}}
10 10  
11 -= Firewall Regeln =
13 += Firewallregeln =
12 12  
13 -Hier finden Sie verschiedene Regeln nur definierten eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
15 +Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
14 14  
17 + {{info}}Weitere Informationen zur Verwendung von iptables finden Sie hier:* [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]]
18 +* [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]]{{/info}}
19 +
20 +(((
15 15  == Standard verwerfen ==
16 16  
23 +**Entfernt alle bestehenden Regeln:**
24 +
25 +{{{iptables --flush}}}
26 +
17 17  **Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:**
18 18  
19 -{{{iptables -P INPUT DROP}}}
29 +{{{iptables --policy INPUT DROP}}}
20 20  
21 21  **Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):**
22 22  
23 -{{{iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT}}}
33 +{{{iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT}}}
24 24  
25 25  == Port / Protokoll / Netzwerk erlauben ==
26 26  
27 -**Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von einem 24er Subnetz:**
37 +**Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von dem 24er Subnetz 192.168.255.0/24:**
28 28  
29 -iptables -A INPUT -p tcp ~-~-dport 443 -s 192.168.255.0/24 -j ACCEPT
39 +{{{iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}}
30 30  
31 -**Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP**
41 +**Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP 192.168.255.56/32:**
32 32  
33 -{{{iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT}}}
43 +{{{iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}}
34 34  
35 -**Erlaubt VNC zum Client auf Port 5900 TCP von 16er Subnetz**
45 +**Erlaubt VNC zum Client auf Port 5900 TCP vom 16er Subnetz 192.168.0.0/16:**
36 36  
37 -{{{iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT}}}
47 +{{{iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}}
38 38  
39 -**Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP von 16er Subnetz:**
49 +**Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP vom 16er Subnetz 192.168.0.0/16:**
40 40  
41 -{{{iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT}}}
51 +{{{iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}}
42 42  
43 43  **Erlaubt ICMP (Ping) von überall**
44 44  
45 -{{{iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}}
55 +{{{iptables --append INPUT --protocol icmp --jump ACCEPT}}}
46 46  
47 -= Skript Anlegen =
57 += Skript anlegen =
48 48  
49 49  {{warning}}
50 50  Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier:
... ... @@ -59,19 +59,20 @@
59 59  Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus:
60 60  
61 61  {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden
62 -iptables -P INPUT DROP
63 -iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
64 -iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT
72 +iptables --flush
73 +iptables --policy INPUT DROP
74 +iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
75 +iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT
65 65  
66 66  # Erlaube SSH Admin PC
67 -iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT
78 +iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT
68 68  
69 69  # Erlaube VNC
70 -iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT
71 -iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT
81 +iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT
82 +iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT
72 72  
73 73  # Erlaube PING
74 -iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}}
85 +iptables --append INPUT --protocol icmp --jump ACCEPT}}}
75 75  
76 76  Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
77 77  
... ... @@ -78,9 +78,4 @@
78 78  |(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung
79 79  |(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus
80 80  |(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird
81 -|(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus
82 -|(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus
83 -
84 -[[image:RangeeOS-Firewall.png||height="446" width="600"]]
85 -
86 -Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.
92 +|(% style="width:160px" %)Desktop-Verknüpfung erstellen