Zum Inhalt springen
Zuletzt geändert von Tobias Wintrich am 2022/10/28 12:30
Zeige letzte Bearbeiter
1 Das RangeeOS stellt keine grafische Benutzeroberfläche zur Erstellung und Verwaltung von Firewall Regeln bereit. Auf Wunsch können aber beliebige Regeln über das Linux Kommandozeilen Tool //**iptables **//erstellt und über das Skripte Modul auch auf verschiedene Geräte übertragen werden.
2
3 {{toc/}}
4
5 = Voraussetzung =
6
7 Auf dem RangeeOS Client muss das Softwaremodul **scripts **in zur Firmware passender Version installiert sein.
8
9 {{info}}
10 Sollte Ihnen unter **Softwareaktualisierung **das Modul nicht angeboten werden, wenden Sie sich bitte an unseren [[Support>>mailto:support@rangee.com]]
11 {{/info}}
12
13 = Firewallregeln =
14
15 Hier finden Sie verschiedene Regeln um nur definierten, eingehenden Datenverkehr zum RangeeOS auf Netzwerkebene zu erlauben . Das Blockieren ausgehender Verbindungen auf Clientseite wird nicht empfohlen.
16
17 {{info}}
18 Weitere Informationen zur Verwendung von iptables finden Sie hier:
19
20 * [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]]
21 * [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]]
22 {{/info}}
23
24 == Standard verwerfen ==
25
26 **Entfernt alle bestehenden Regeln:**
27
28 {{{iptables --flush}}}
29
30 **Block sämtliche eingehenden Pakete die nicht explizit erlaubt sind:**
31
32 {{{iptables --policy INPUT DROP}}}
33
34 **Erlaubt das Aufrechterhalten von Aufgebauten Verbindungen (RDP, ICA, VMwareView...):**
35
36 {{{iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT}}}
37
38 == Port / Protokoll / Netzwerk erlauben ==
39
40 **Erlaubt Kontakt zur Kommbox per Browser / TCMS auf Port 443 TCP von dem 24er Subnetz 192.168.255.0/24:**
41
42 {{{iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}}
43
44 **Erlaubt SSH zum Client auf Port 22 TCP von einzelner IP 192.168.255.56/32:**
45
46 {{{iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}}
47
48 **Erlaubt VNC zum Client auf Port 5900 TCP vom 16er Subnetz 192.168.0.0/16:**
49
50 {{{iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}}
51
52 **Für WebVNC aus Kommbox oder TCMS zusätzlich Port 80 TCP vom 16er Subnetz 192.168.0.0/16:**
53
54 {{{iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}}
55
56 **Erlaubt ICMP (Ping) von überall**
57
58 {{{iptables --append INPUT --protocol icmp --jump ACCEPT}}}
59
60 = Skript anlegen =
61
62 {{warning}}
63 Bevor Sie die Regeln per Skript automatisiert ausführen, wird empfohlen Sie händisch per SSH oder Root Shell zu testen. Informationen zum Zugang zum Linux Terminal finden Sie hier:
64
65 * [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]
66 * [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]]
67 * [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]]
68 {{/warning}}
69
70 Navigieren Sie in der Kommbox zu {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} und legen Sie eine {{status title="Neue Verbindung"/}} an.
71
72 Vergeben Sie die von Ihnen benötigen Regeln (eine je Zeile) in das Feld **Skript **ein. Ein Skript mit allen Regeln aus den Beispielen diese Seite sieht so aus:
73
74 {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden
75 iptables --flush
76 iptables --policy INPUT DROP
77 iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
78 iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT
79
80 # Erlaube SSH Admin PC
81 iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT
82
83 # Erlaube VNC
84 iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT
85 iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT
86
87 # Erlaube PING
88 iptables --append INPUT --protocol icmp --jump ACCEPT}}}
89
90 Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
91
92 (% style="width:1934.5px" %)
93 |(% style="width:584.5px" %)Verbindungsname *|(% style="width:921.5px" %)Frei wählbarer Anzeigename der Verbindung
94 |(% style="width:584.5px" %)Als root ausführen *|(% style="width:921.5px" %)an - Führt das Skript mit den benötigten rechten aus
95 |(% style="width:584.5px" %)Automatischer Start|(% style="width:921.5px" %)an - Sorgt dafür, dass die Firewall beim Start des Geräts aktiviert wird
96 |(% style="width:584.5px" %)Desktop-Verknüpfung erstellen |(% style="width:921.5px" %)aus
97 |(% style="width:584.5px" %)Verknüpfung im Startmenü erstellen|(% style="width:921.5px" %)aus
98
99 [[image:RangeeOS-Firewall.png||height="498" width="600"]]
100
101 Das Skript wir mit diesen Einstellungen nun bei jedem Gerätestart automatisch ausgeführt und aktiviert die Clientseitigen Firewallregeln. Es kann wie jede andere Verbindung auch per TCMS-Gruppe oder Konfigurationsdatei auf andere Geräte verteilt werden.