Changes for page RangeeOS - Firewall mit ipables Skript
Last modified by Tobias Wintrich on 2022/10/28 12:30
From version 7.1
edited by Tobias Wintrich
on 2022/10/28 09:59
on 2022/10/28 09:59
Change comment:
There is no comment for this version
To version 1.1
edited by Tobias Wintrich
on 2022/10/28 09:44
on 2022/10/28 09:44
Change comment:
Neuen Anhang RangeeOS-Firewall.png hochladen
Summary
-
Page properties (3 modified, 0 added, 0 removed)
Details
- Page properties
-
- Title
-
... ... @@ -1,1 +1,0 @@ 1 -RangeeOS - Firewall mit ipables Skript - Parent
-
... ... @@ -1,1 +1,0 @@ 1 -HowTos.WebHome - Content
-
... ... @@ -1,93 +1,0 @@ 1 -Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden. 2 - 3 -= Voraussetzung = 4 - 5 -Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein. 6 - 7 -{{info}} 8 -Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]] 9 -{{/info}} 10 - 11 -= Firewallregeln = 12 - 13 -Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen. 14 - 15 -{{info}} 16 -Weitere Informationen zur Verwendung von iptables finden Sie hier: 17 - 18 -* [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]] 19 -* [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]] 20 -{{/info}} 21 - 22 -== Standard verwerfen == 23 - 24 -**Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:** 25 - 26 -{{{iptables -P INPUT DROP}}} 27 - 28 -**Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):** 29 - 30 -{{{iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT}}} 31 - 32 -== Port / Protokoll / Netzwerk erlauben == 33 - 34 -**Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von einem 24er Subnetz:** 35 - 36 -{{{iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT}}} 37 - 38 -**Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP** 39 - 40 -{{{iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT}}} 41 - 42 -**Erlaubt VNC zum Client auf Port 5900 TCP von 16er Subnetz** 43 - 44 -{{{iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT}}} 45 - 46 -**Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP von 16er Subnetz:** 47 - 48 -{{{iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT}}} 49 - 50 -**Erlaubt ICMP (Ping) von überall** 51 - 52 -{{{iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}} 53 - 54 -= Skript anlegen = 55 - 56 -{{warning}} 57 -Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier: 58 - 59 -* [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]] 60 -* [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]] 61 -* [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]] 62 -{{/warning}} 63 - 64 -Navigieren Sie in der Kommbox zu {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} und legen Sie eine {{status title="Neue Verbindung"/}} an. 65 - 66 -Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus: 67 - 68 -{{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden 69 -iptables -P INPUT DROP 70 -iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 71 -iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT 72 - 73 -# Erlaube SSH Admin PC 74 -iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT 75 - 76 -# Erlaube VNC 77 -iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT 78 -iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT 79 - 80 -# Erlaube PING 81 -iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}} 82 - 83 -Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden: 84 - 85 -|(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung 86 -|(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus 87 -|(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird 88 -|(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus 89 -|(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus 90 - 91 -[[image:RangeeOS-Firewall.png||height="446" width="600"]] 92 - 93 -Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.