1

Onderwerp: Router/Gateway met firewall en apache

Lang geleden dat ik hier geweest ben, maar gelukkig wist ik het forum nog direct te vinden toen ik met deze vraag rondliep wink

In het verre verleden (een jaar of 6/7 geleden denk ik) heb ik een linux router/gateway gehad met iptables. Ik had toen een internetverbinding van Chello/UPC, en had daar mijn linuxbak op gezet, met daarachter dan een switch. Toen op een gegeven moment bij een verhuizing over gegaan naar adsl, waar mijn publieke ip aan een speedtouch modem toe werd gewezen, en de linuxbak een intern servertje werd. Inmiddels is die bak allang ter ziele en heb ik nog wel altijd een tweetal linuxbakjes draaien, een als nas, en die ander als een van alles en nog wat servertje.
Nu heb ik sinds vorige week een glasvezel verbinding, en kan ik weer een servertje neerzetten die het publieke ipadres krijgt. Ik wil dus mijn van-alles-en-nog-wat-servertje hiervoor in gaan zetten door er een tweede nic in te zetten en hier een firewall op te plaatsen met uiteraard nat. Daarachter komt mijn (wifi)router en eventueel nog een switch.

Nu ben ik alweer eventjes aan het kijken geweest, en volgens mij is het nog steeds iptables wat gebruikt wordt voor dit soort zaken, klopt dat? Of zijn daar ondertussen andere voor in de plaats gekomen? En zijn er verder nog zaken waar ik op moet letten. Tot nu toe was mijn server alleen intern, dus kon ik iets makkelijker met de beveiliging omgaan, maar nu moet dat gewoon weer allemaal dicht zitten. En uiteraard moeten de andere pc's op het interne lan wel gewoon alles kunnen blijven doen, msn, webcam, een mediacenter, etc

Ik was de site van mrleejohn alweer tegen gekomen, en ook het iptables script van Bart, welke ik indertijd ook gedeeltelijk gebruikt heb (dacht ik), maar enige hulp zou wel weer gewaardeerd worden omdat ik niet mijn server of (nog erger) mijn lan naar buiten toe open wil hebben. Ik wil ook een http servertje draaien en wilde dat ook maar gelijk op dezelfde machine doen, tenzij ik nu allemaal boze blikken krijg en iedereen zegt dat ik die toch beter op een andere machine kan laten draaien wink

Overigens draai ik al jaren op al mijn linuxbakken Gentoo, dus daar wil ik ook nu aan vast blijven houden!

Alvast bedankt voor het meedenken, en als er nog nieuwe vragen in me opkomen meldt ik me wel weer wink

Gr. Rutger

somehow a new monday morning is always dynamically generated after the weekend...

Re: Router/Gateway met firewall en apache

Iptables is still going strong. Maar mijn firewall-pagina is niet echt uptodate hoor.

Wat ga je op die bak allemaal uitvreten? Je moet typische interne en externe diensten niet op 1 bak combineren he! Verder zijn tegenwoordig de standaard scripts erg goed geworden. I like lokkit.

Re: Router/Gateway met firewall en apache

iptables is idd zeker nog de aangewezen methode. Ik heb zelf een script geschreven op basis van het boek "Linux Server Security". Dat boek is ook wel wat verouderd, maar naar mijn mening het IPtables gedeelte zeker niet. Dat script beveiligd/limiteerd/scanned niet alleen het verkeer wat naar binnen komt, maar ook het verkeer wat er naar buiten gaat. Op die manier beveilig ik mijn serves dus ook tegenwoordig. Die server kunnen alleen HTTP verbindingen maken naar nl.debian.org voor updates en verder niets.
Dat is dus ook wel een idee, het verkeer naar buiten dicht gooien.

Verder ken ik Lokkit niet, maar als Leon het aanraad kan het al zeker niet slecht zijn wink. Zeker de moeite waard om eens naar te kijken.

Als je de luie uitweg zoekt kan je natuurlijk ook eens kijken naar IPCop of ClarkConnect, dat zijn appliances dat je alles via de webinterface insteld. Stuk minder uitdaging dus, maar wel veel sneller ingericht wink.

Desktop: Intel i7 2600 @ 3,4 Ghz, 16 GB RAM,  11 TB (SSD+RAID6) voor Gentoo en Fedora, 1 TB voor Windows 7 Home Premium 64 bit English (zelfbouw)
Server: Intel Xeon E5506, 24 GB RAM, 2x 256 GB Samsung 840 Pro (LVM Mirrored LV) voor Proxmox (zelfbouw)

4

Re: Router/Gateway met firewall en apache

ik ben met hetzelfde onderwerp bezig. Ik wil echter een 2 voudige firewall contructie maken met een DMZ ertussen voor de servers.
Dit allemaal in virtuele machientjes.

Een paar tips:
* hier de basis van NAT: http://users.telenet.be/mydotcom/howto/ … /linux.htm
* ssh alleen met keys, en root login disablen
* een 2e server als logging server. (is je firewall gehackt dan moet de logging nog terug te vinden zijn)
* tripwire
* eventueel port knocking om poorten open te zetten
* btw. voor flooding attacks etc heeft de kernel aparte parameters. (/etc/sysctl oid). Die ook hier te zien zijn: http://www.hermann-uwe.de/security/my-f … es-scripts

Zelf ben ik er ook nog druk mee...

RHCE, RHCSA, RHCT, LPIC-2, LPIC-1 en CLA gecertificeerd.

5

Re: Router/Gateway met firewall en apache

@MrLee, in principe wil ik hier alleen een httpd op draaien, en het verder dus echt een firewall/gateway bak laten (met dhcpd dan ook natuurlijk). Omdat ik met glasvezel een 50Mbit upload heb wil ik daar dus ook gewoon een (hobby)site op hosten met dyndns. Op het interne lan bevindt zich dan nog een (Gentoo) NAS-server, welke o.a. dienst doet als backup voor mijn windows bakken, en een aantal netwerk shares bevat. Hier kan ik ook verder ook andere eventuele interne deamons op laten draaien.
Of zou je het zelfs nog strikter willen scheiden en een gateway/dhcpd/httpd op een andere machine (NAS?) zetten dan de FW?

Wat ik dus in gedachten heb:

Internet (publiek IP) --> (eth0) Gateway/FW/httpd/dhcpd server (eth1, 192.168.x.x) --> switch/WiFi ap --> NAS 
                                                                                                      --> Windows machines

Verder, hoe zit dat met die scripts? Ik heb even snel op Lokkit gegoogled, maar kwam iets van een gnome app tegen. Op de server heb ik geen X draaien, en ik hou het ook liever bij de console only. Een web interface mag dan nog wel, maar die liever alleen intern. Ik maak nu ook gebruik van webmin, dit omdat ik er verre van dagelijks mee bezig ben, en veel configuratie opties en commando's dus toch vaak alweer vergeten ben tegen de tijd dat ik het nog eens nodig heb. Voor de configuratie van de fw, zou ik dit dus denk ik (mits dat goed werkt!!) ook wel prefereren.
Root login voor ssh is bij mij standaard altijd disabled, daarnaast draait er een script die een ip na 3 mislukte logins blokkeert (het interne net is hiervan uitgezonderd, deze staan in een safe ip-list)
Mijn nas zou ik eventueel wel als logging server in kunnen zetten.

Qua verdere pc's in het netwerk gaat het momenteel om een laptop, een desktop en een mediacenter, uitgerust met win 7 of Vista. Daarop moet mijn vrouw gewoon normaal kunnen internetten, en updates etc moeten ook gewoon binnen gehaald kunnen worden, ik weet zo even niet of dat een handmatige fw configuratie is, of dat dit gewoon automatisch (welke poorten) in te stellen is? Daarnaast zullen voip applicaties (met meestal dynamische portranges voor udp) ook gewoon moeten werken.

somehow a new monday morning is always dynamically generated after the weekend...

Re: Router/Gateway met firewall en apache

Misschien te simpel gedacht van mij. Waarom niet gewoon een 1000mb router? Zijn tegenwoordig goed dicht te bouwen.

groet,

Theo

7

Re: Router/Gateway met firewall en apache

1) omdat ik de keuzevrijheid dan mis, ik heb nu een speedtouch adsl-modem/router, en vindt het een ramp als ik bijvoorbeeld portforwarding in moet stellen, gewone zaken gaat nog wel, maar http doet hij bijvoorbeeld al niet eens, omdat je dan op de webinterface van de router komt. En mijn asterisk server kon al helemaal niet met de dynamische udp poorten en dan ook nog eens NAT!
2) Dat is niet leuk
3) Ik heb die barebone hier staan en die heeft inmiddels weinig andere taken meer

somehow a new monday morning is always dynamically generated after the weekend...

Re: Router/Gateway met firewall en apache

Een eenvoudige oplossing is ClarkConnect, zoals mr C zegt. Anders kun je bijna iedere distro waar jij graag op werkt gebruiken. Het veiligste (en leukste) is beheer op de commandline via ssh. Of je dan een frontend voor iptables gebruikt of zelf de rules beheert is aan jou.

Misschien heb je nog iets aan http://www.mrleejohn.nl/myserver.htm en http://www.mrleejohn.nl/linux-security.htm

9

Re: Router/Gateway met firewall en apache

ClarkConnect ziet er netjes uit ja, en maakt het beheer in elk geval wel makkelijk! Heeft die ook al een httpd aan boord? Of zou ik die dan op een andere server moeten zetten daarbij?
En wat zijn anders goeie frontends voor iptables. Gezien het feit dat ik weinig met iptables werk heeft een dergelijke 'gui' wel lichtelijk mijn voorkeur. Als ik het op ga bouwen maakt het me nog niet direct uit, dan ben je toch ff flink aan het inlezen. Maar dan draait het en wil je na een jaar iets wijzigen dan ben je allang weer vergeten hoe je die forwarding nu ook alweer instelde wink

somehow a new monday morning is always dynamically generated after the weekend...

10

Re: Router/Gateway met firewall en apache

Webserver met php/mysql dacht ik. Anders is het in de basis centos en yum je het erbij. Ik denk dat er ook wel een iptables fronted tool bij zit. Gewoon proberen!

Verder zei ik al dat lokkit mijn favo frontend is... ook en juist niet-grafisch. Voor een quicklook zie http://www.techotopia.com/index.php/Bas … ewall_Tool (expres vanuit ubuntu)

11

Re: Router/Gateway met firewall en apache

Misschien is deze opzet ook een leuke basis: http://www.mrleejohn.nl/securing-centos/ (erg aardig overzicht dat ik tegen kwam op internet)

12

Re: Router/Gateway met firewall en apache

Momenteel ben ik nogal te spreken over pfSense. Een op freeBSD gebasseerde router/firewall met pf (packet filter) van openBSD. Voor mijn werk heb ik een ALix board gekocht (compact flash voor het OS en 3 100mbit netwerkkaarten) en dat draait als een tierelier.

Peter (aka Bilbo) geeft geen garantie op bestand- en padnamen, hij doet aan tab-completion.
http://bilbos-stekkie.com

13

Re: Router/Gateway met firewall en apache

pfSense is zeker erg goed. Nadeel is echter dat je daar dan ook weer verstand van moet hebben. Voor veel beheerders is kennis van windows normaal (cq noodzakelijk kwaad). Een steeds groter wordend aantal leert Linux. Alleen BSD is nog relatief onbekend. Neemt niet weg dat je verdiepen in pfSense zeker de moeite waard is.