Wiki source code of RangeeOS - Firewall mit ipables Skript
Version 6.1 by Tobias Wintrich on 2022/10/28 09:54
Hide last authors
| author | version | line-number | content |
|---|---|---|---|
 |
5.1 | 1 | Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden. |
| |
2.1 | 2 | |
| 3 | = Voraussetzung = | ||
| 4 | |||
| 5 | Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein. | ||
| 6 | |||
| 7 | {{info}} | ||
| 8 | Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]] | ||
| 9 | {{/info}} | ||
| 10 | |||
| |
6.1 | 11 | = Firewallregeln = |
| |
2.1 | 12 | |
| |
6.1 | 13 | Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen. |
| |
2.1 | 14 | |
| 15 | == Standard verwerfen == | ||
| 16 | |||
| 17 | **Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:** | ||
| 18 | |||
| 19 | {{{iptables -P INPUT DROP}}} | ||
| 20 | |||
| 21 | **Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):** | ||
| 22 | |||
| 23 | {{{iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT}}} | ||
| 24 | |||
| |
3.1 | 25 | == Port / Protokoll / Netzwerk erlauben == |
| |
2.1 | 26 | |
| 27 | **Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von einem 24er Subnetz:** | ||
| 28 | |||
| |
6.1 | 29 | {{{iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT}}} |
| |
2.1 | 30 | |
| 31 | **Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP** | ||
| 32 | |||
| 33 | {{{iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT}}} | ||
| 34 | |||
| 35 | **Erlaubt VNC zum Client auf Port 5900 TCP von 16er Subnetz** | ||
| 36 | |||
| 37 | {{{iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT}}} | ||
| 38 | |||
| 39 | **Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP von 16er Subnetz:** | ||
| 40 | |||
| 41 | {{{iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT}}} | ||
| 42 | |||
| 43 | **Erlaubt ICMP (Ping) von überall** | ||
| 44 | |||
| 45 | {{{iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}} | ||
| 46 | |||
| |
6.1 | 47 | = Skript anlegen = |
| |
2.1 | 48 | |
| 49 | {{warning}} | ||
| 50 | Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier: | ||
| 51 | |||
| 52 | * [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]] | ||
| 53 | * [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]] | ||
| 54 | * [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]] | ||
| 55 | {{/warning}} | ||
| 56 | |||
| 57 | Navigieren Sie in der Kommbox zu {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} und legen Sie eine {{status title="Neue Verbindung"/}} an. | ||
| 58 | |||
| 59 | Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus: | ||
| 60 | |||
| 61 | {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden | ||
| 62 | iptables -P INPUT DROP | ||
| 63 | iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
| 64 | iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT | ||
| 65 | |||
| 66 | # Erlaube SSH Admin PC | ||
| 67 | iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT | ||
| 68 | |||
| 69 | # Erlaube VNC | ||
| 70 | iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT | ||
| 71 | iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT | ||
| 72 | |||
| 73 | # Erlaube PING | ||
| 74 | iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}} | ||
| 75 | |||
| 76 | Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden: | ||
| 77 | |||
| 78 | |(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung | ||
| 79 | |(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus | ||
| 80 | |(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird | ||
| 81 | |(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus | ||
| 82 | |(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus | ||
| 83 | |||
| 84 | [[image:RangeeOS-Firewall.png||height="446" width="600"]] | ||
| |
3.1 | 85 | |
| 86 | Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden. |