Version 6.1 by Tobias Wintrich on 2022/10/28 09:54

Hide last authors
Tobias Wintrich 5.1 1 Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
Tobias Wintrich 2.1 2
3 = Voraussetzung =
4
5 Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein.
6
7 {{info}}
8 Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]]
9 {{/info}}
10
Tobias Wintrich 6.1 11 = Firewallregeln =
Tobias Wintrich 2.1 12
Tobias Wintrich 6.1 13 Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
Tobias Wintrich 2.1 14
15 == Standard verwerfen ==
16
17 **Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:**
18
19 {{{iptables -P INPUT DROP}}}
20
21 **Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):**
22
23 {{{iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT}}}
24
Tobias Wintrich 3.1 25 == Port / Protokoll / Netzwerk erlauben ==
Tobias Wintrich 2.1 26
27 **Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von einem 24er Subnetz:**
28
Tobias Wintrich 6.1 29 {{{iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT}}}
Tobias Wintrich 2.1 30
31 **Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP**
32
33 {{{iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT}}}
34
35 **Erlaubt VNC zum Client auf Port 5900 TCP von 16er Subnetz**
36
37 {{{iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT}}}
38
39 **Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP von 16er Subnetz:**
40
41 {{{iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT}}}
42
43 **Erlaubt ICMP (Ping) von überall**
44
45 {{{iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}}
46
Tobias Wintrich 6.1 47 = Skript anlegen =
Tobias Wintrich 2.1 48
49 {{warning}}
50 Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier:
51
52 * [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]
53 * [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]]
54 * [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]]
55 {{/warning}}
56
57 Navigieren Sie in der Kommbox zu {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} und legen Sie eine {{status title="Neue Verbindung"/}} an.
58
59 Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus:
60
61 {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden
62 iptables -P INPUT DROP
63 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
64 iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT
65
66 # Erlaube SSH Admin PC
67 iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT
68
69 # Erlaube VNC
70 iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 ACCEPT
71 iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT
72
73 # Erlaube PING
74 iptables -A INPUT -p icmp -s 0/0 -j ACCEPT}}}
75
76 Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
77
78 |(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung
79 |(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus
80 |(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird
81 |(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus
82 |(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus
83
84 [[image:RangeeOS-Firewall.png||height="446" width="600"]]
Tobias Wintrich 3.1 85
86 Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.