Version 8.1 by Tobias Wintrich on 2022/10/28 10:02

Hide last authors
Tobias Wintrich 5.1 1 Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
Tobias Wintrich 2.1 2
3 = Voraussetzung =
4
5 Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein.
6
7 {{info}}
8 Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]]
9 {{/info}}
10
Tobias Wintrich 6.1 11 = Firewallregeln =
Tobias Wintrich 2.1 12
Tobias Wintrich 6.1 13 Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
Tobias Wintrich 2.1 14
Tobias Wintrich 7.1 15 {{info}}
16 Weitere Informationen zur Verwendung von iptables finden Sie hier:
17
18 * [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]]
19 * [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]]
20 {{/info}}
21
Tobias Wintrich 2.1 22 == Standard verwerfen ==
23
24 **Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:**
25
26 {{{iptables -P INPUT DROP}}}
27
28 **Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):**
29
30 {{{iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT}}}
31
Tobias Wintrich 3.1 32 == Port / Protokoll / Netzwerk erlauben ==
Tobias Wintrich 2.1 33
Tobias Wintrich 8.1 34 **Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von dem 24er Subnetz 192.168.255.0/24:**
Tobias Wintrich 2.1 35
Tobias Wintrich 6.1 36 {{{iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT}}}
Tobias Wintrich 2.1 37
Tobias Wintrich 8.1 38 **Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP 192.168.255.56/32:**
Tobias Wintrich 2.1 39
40 {{{iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT}}}
41
Tobias Wintrich 8.1 42 **Erlaubt VNC zum Client auf Port 5900 TCP vom 16er Subnetz 192.168.0.0/16:**
Tobias Wintrich 2.1 43
Tobias Wintrich 8.1 44 {{{iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 -j ACCEPT}}}
Tobias Wintrich 2.1 45
Tobias Wintrich 8.1 46 **Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP vom 16er Subnetz 192.168.0.0/16:**
Tobias Wintrich 2.1 47
48 {{{iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT}}}
49
50 **Erlaubt ICMP (Ping) von überall**
51
Tobias Wintrich 8.1 52 {{{iptables -A INPUT -p icmp -j ACCEPT}}}
Tobias Wintrich 2.1 53
Tobias Wintrich 6.1 54 = Skript anlegen =
Tobias Wintrich 2.1 55
56 {{warning}}
57 Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier:
58
59 * [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]
60 * [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]]
61 * [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]]
62 {{/warning}}
63
64 Navigieren Sie in der Kommbox zu {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} und legen Sie eine {{status title="Neue Verbindung"/}} an.
65
66 Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus:
67
68 {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden
69 iptables -P INPUT DROP
70 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
71 iptables -A INPUT -p tcp --dport 443 -s 192.168.255.0/24 -j ACCEPT
72
73 # Erlaube SSH Admin PC
74 iptables -A INPUT -p tcp --dport 22 -s 192.168.255.56/32 -j ACCEPT
75
76 # Erlaube VNC
Tobias Wintrich 8.1 77 iptables -A INPUT -p tcp --dport 5900 -s 192.168.0.0/16 -j ACCEPT
Tobias Wintrich 2.1 78 iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT
79
80 # Erlaube PING
Tobias Wintrich 8.1 81 iptables -A INPUT -p icmp -j ACCEPT}}}
Tobias Wintrich 2.1 82
83 Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
84
85 |(% style="width:160px" %)Verbindungsname *|(% style="width:1346px" %)Frei wählbarer Anzeigename der Verbindung
86 |(% style="width:160px" %)Als root ausführen *|(% style="width:1346px" %)an - Führt das Skript mit den benötigten rechten aus
87 |(% style="width:160px" %)Automatischer Start|(% style="width:1346px" %)an - Sorgt dafür, dass die Firewall beim Start des geräts aktiviert wird
88 |(% style="width:160px" %)Desktop-Verknüpfung erstellen|(% style="width:1346px" %)aus
89 |(% style="width:160px" %)Verknüpfung im Startmenü erstellen|(% style="width:1346px" %)aus
90
91 [[image:RangeeOS-Firewall.png||height="446" width="600"]]
Tobias Wintrich 3.1 92
93 Das fertige Skript wird nun bei jedem Systemstart ausgeführt und wendet die definierten Regeln an. Das Skript kann beliebig per TCMS Konfiguration auf andere Geräte verteilt werden.