Changes for page RangeeOS - Firewall mit ipables Skript

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -1,5 +1,7 @@
1		-Das RangeeOS stellt keine Grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
	1	+Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
2	2
	3	+{{toc/}}
	4	+
3	3	= Voraussetzung =
4	4
5	5	Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein.
...	...	@@ -8,43 +8,54 @@
8	8	Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]]
9	9	{{/info}}
10	10
11		-= Firewall Regeln =
	13	+= Firewallregeln =
12	12
13		-Hier finden Sie verschiedene Regeln nur definierten eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
	15	+Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
14	14
	17	+{{info}}
	18	+Weitere Informationen zur Verwendung von iptables finden Sie hier:
	19	+
	20	+* [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]]
	21	+* [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]]
	22	+{{/info}}
	23	+
15	15	== Standard verwerfen ==
16	16
	26	+**Entfernt alle bestehenden Regeln:**
	27	+
	28	+{{{iptables --flush}}}
	29	+
17	17	**Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:**
18	18
19		-{{{iptables -P INPUT DROP}}}
	32	+{{{iptables --policy INPUT DROP}}}
20	20
21	21	**Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):**
22	22
23		-{{{iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT}}}
	36	+{{{iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT}}}
24	24
25	25	== Port / Protokoll / Netzwerk erlauben ==
26	26
27		-**Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von einem 24er Subnetz:**
	40	+**Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von dem 24er Subnetz 192.168.255.0/24:**
28	28
29		-iptables -A INPUT -p tcp ~-~-dport 443 -s 192.168.255.0/24 -j ACCEPT
	42	+{{{iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}}
30	30
31		-**Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP**
	44	+**Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP 192.168.255.56/32:**
32	32
33		-{{{iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT}}}
	46	+{{{iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}}
34	34
35		-**Erlaubt VNC zum Client auf Port 5900 TCP von 16er Subnetz**
	48	+**Erlaubt VNC zum Client auf Port 5900 TCP vom 16er Subnetz 192.168.0.0/16:**
36	36
37		-{{{iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT}}}
	50	+{{{iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}}
38	38
39		-**Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP von 16er Subnetz:**
	52	+**Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP vom 16er Subnetz 192.168.0.0/16:**
40	40
41		-{{{iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT}}}
	54	+{{{iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}}
42	42
43	43	**Erlaubt ICMP (Ping) von überall**
44	44
45		-{{{iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}}
	58	+{{{iptables --append INPUT --protocol icmp --jump ACCEPT}}}
46	46
47		-= Skript Anlegen =
	60	+= Skript anlegen =
48	48
49	49	{{warning}}
50	50	Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier:
...	...	@@ -59,19 +59,20 @@
59	59	Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus:
60	60
61	61	{{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden
62		-iptables -P INPUT DROP
63		-iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
64		-iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT
	75	+iptables --flush
	76	+iptables --policy INPUT DROP
	77	+iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
	78	+iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT
65	65
66	66	# Erlaube SSH Admin PC
67		-iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT
	81	+iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT
68	68
69	69	# Erlaube VNC
70		-iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT
71		-iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT
	84	+iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT
	85	+iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT
72	72
73	73	# Erlaube PING
74		-iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}}
	88	+iptables --append INPUT --protocol icmp --jump ACCEPT}}}
75	75
76	76	Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
77	77
...	...	@@ -78,9 +78,5 @@
78	78	|(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung
79	79	|(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus
80	80	|(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird
81		-|(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus
82		-|(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus
83		-
84		-[[image:RangeeOS-Firewall.png||height="446" width="600"]]
85		-
86		-Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.
	95	+|(% style="width:160px" %)Desktop-Verknüpfung erstellen
	96	+~)~)~)