It is currently 17.10.2017 13:04


All times are UTC




Post new topic Reply to topic  [ 7 posts ] 
Author Message
 Post subject: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 07.07.2016 17:53 
Tripple-DES
Tripple-DES

Joined: 03.08.2009 09:57
Posts: 33
Moin

Vorgestern habe ich mir eher zufällig noch mal das "alte" Web-HowTo angesehen, mit dem ich damals meine ersten OpenVPN-Schritte unter Linux gemacht habe. Und da ist mir etwas aufgefallen, was mir vorher nie so recht bewusst geworden ist, seitdem ich von Windows nach Linux gewechselt bin.... es gab ja auch nie irgendwelche ungelösten Probleme beim OpenVPN-Betrieb. In dem HowTo wurden iptables gesesetzt, mit dem Hinweis, dass das notwendig ist, um dem Client (Road-Warrior) den "Durchgang" ins Internet zu ermöglichen.

Interessehalber habe ich mir dann noch 2 weitere gespeicherte Linux-HowTo's angesehen und mehr oder weniger das gleiche vorgefunden. In beiden gesetzte iptables, beides Mal mit dem Hinweis "Notwendig fürs Internet".

Was mich jetzt aber irritiert ist der Umstand, dass meine OpenVPN-confs zwar mehr oder weniger so aussehen, wie die der 3 HowTo's, ich habe natürlich ipforwarding aktiviert, aber es sind definitiv keine iptables gesetzt. Und es funktioniert trotzdem tadellos. Alle "Road-Warriors" können sich mit dem Netz verbinden und sowohl auf den Server zugreifen als auch über OpenVPN ins Internet. Ich sehe das über myip.com. Sobald ich über OpenVPN online bin, sehe ich meinen ISP von zuhause.

Ist da jetzt irgendwas verkehrt, weil es bei mir ohne iptables klappt oder braucht man die im Grunde genommen gar nicht? Oder braucht man die nur, wenns irgendwelche Probleme gibt? Also, ich bin kein Netzwerkprofi und mit iptables habe ich mich noch nie beschäftigt. Es funktioniert ja auch alles.... ich vestehe nur nicht, wieso 3 HowTo's wichtigerweise diese iptables setzen und es bei mir trotzdem ohne klappt.

Kann mir jemand mit einer kurzen Erklärung helfen? Eine Danke im Voraus....

vg, Maddin


Top
Offline Profile  
Reply with quote  
 Post subject: Re: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 07.07.2016 19:28 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
Hallo,
-theoretisch:kein Mensch braucht eine Firewall !
[du hast eine Standalonemaschine und es gibt nur Dienste, die auch wirklich gebraucht werden]
scheinbar hat dein Verständnis weniger mit iptables zu tun, als mit dem gründsätzlichen Firewallverständnis (SPF). egal ob ipchains, iptables, ipfilter usw.
Zugegeben - manche Webbeiträge verwirren eher fürs Verständnis - aber am Ende ist es recht einfach.
Ich bevorzuge die pessimistische (paraniode) Sichtweise ...

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 07.07.2016 20:44 
Tripple-DES
Tripple-DES

Joined: 03.08.2009 09:57
Posts: 33
Ich weiss natürlich, was eine Firewall ist. Nur befinden sich alle meine Rechner hinter einem Router, es gibt außer OpenVPN keine Dienste, die nach "außen" lauschen, der Router hat ansonsten keine freigegebenen Ports, auf den Clients ist nur ausgewählte Software aus dem Debian-Repo installiert, die Anwender sind gut geschult und kein einziger hat root-Rechte, Der Server ist mit einem absoluten Mini-Debian eingerichtet, ohne Desktop-Environment, ohne Anwendungssoftware, nur mit den für den Serverbetrieb notwendigen Diensten. Bei dem Hintergrund denke ich, dass ich erst mal keine zusätzliche Firewall auf dem Server benötige, bzw. dass die sowieso vorhandene Router-Firewall ausreichend ist.

Mein Verständnisproblem bezogen auf meine Frage liegt an solchen Aussagen:
"Iptables korrekt setzen
Damit die Clients Internetzugriff haben und sich nicht nur untereinander in ihrem Subnetz 10.8.0.0/24 verbinden können, müssen jetzt noch ein paar iptables Regeln erstellt werden. Dazu gebt ihr einfach folgende Befehlszeilen nacheinander in euer Terminal ein:"

https://thomas-leister.de/openvpn-server-als-internet-gateway-unter-ubuntu-server/

"Nun richten wir die Internetweiterleitung ein, damit später der durch OpenVPN verbundene Computer auch Internetzugriff erhält. Sofern du nicht die Ethernetbuchse deines Raspberry Pis nutzt (z.B. W-LAN) musst du eth0 im folgenden Kommando durch den Namen deines Netzwerkadapters ersetzen. Wie dieser heißt, findest du mittels ifconfig heraus."
http://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installieren/

"Route einrichten
Damit man auch ins Internet gelangen kann, muss man der Server-Firewall (in diesem Fall iptables) noch eine Regel mit geben und das IP-Forwarding aktivieren. Damit folgende Änderungen auch nach dem Reboot bestehen, sollte man sie am besten in die /etc/rc.local eintragen."

http://wiki.nefarius.at/linux/mit_openvpn_ins_internet

.... eben daran, dass es bei mir auch ohne funktioniert. Ist das jetzt ok, wenn es auch ohne iptables funktioniert oder stimmt da vielleicht in meinem Setup was grundsätzliches an andererer Stelle nicht.... weil etwas funktioniert, was vielleicht gar nicht funktionieren dürfte?

vg, Maddin


Top
Offline Profile  
Reply with quote  
 Post subject: Re: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 08.07.2016 20:59 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
MaddinR wrote:
Ich weiss natürlich, was eine Firewall ist. Nur befinden sich alle meine Rechner hinter einem Router, es gibt außer OpenVPN keine Dienste, die nach "außen" lauschen, der Router hat ansonsten keine freigegebenen Ports, auf den Clients ist nur ausgewählte Software aus dem Debian-Repo installiert, die Anwender sind gut geschult und kein einziger hat root-Rechte,
was hat das mit Firewall zu tun ?
Quote:
Der Server ist mit einem absoluten Mini-Debian eingerichtet, ohne Desktop-Environment, ohne Anwendungssoftware, nur mit den für den Serverbetrieb notwendigen Diensten. Bei dem Hintergrund denke ich, dass ich erst mal keine zusätzliche Firewall auf dem Server benötige, bzw. dass die sowieso vorhandene Router-Firewall ausreichend ist.
und was soll die Routerfirewall in diesem Fall tun ?

bzw. (Einleitungssatz) es geht nicht darum zu wissen, was eine Firewall IST sondern sie
- sinnvoll
- fehlerfrei
anzuwenden. Fehlerfrei heisst zuerst, dass alles genauso funktioniert, wie geplant.
Quote:
[.............]

.... eben daran, dass es bei mir auch ohne funktioniert. Ist das jetzt ok, wenn es auch ohne iptables funktioniert oder stimmt da vielleicht in meinem Setup was grundsätzliches an andererer Stelle nicht.... weil etwas funktioniert, was vielleicht gar nicht funktionieren dürfte?

vg, Maddin


woher soll dir das einer sagen können, wenn keiner deine Pläne kennt ?

Mir ist auch völlig unklar, was du mit einer (Router..egal wo) Firewall willst, wenn nur Dienste laufen die gebraucht werden (dann ist die Firewall eh auf "durchzug" an der Stelle).
Falls du wirklich eine Firewall brauchst, weisst du auch wofür, hast dazu eine saubere Planung und auch ein Testregime.

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 12.07.2016 19:04 
Tripple-DES
Tripple-DES

Joined: 03.08.2009 09:57
Posts: 33
Moin

Also... eigentlich ist es völlig unnötig über eine Firewall zu reden oder was mein Router tut oder nicht tut oder was meine Pläne sind.. Du hast das Thema auf eine Firewall gelenkt und ich wünsche mir eigentlich, dass wir diesen unnötigen Zweig nicht weiter verfolgen. Ich verstehe im Moment leider auch gar nicht, was an meiner Frage so schwer zu verstehen ist.

Ich möchte doch nur gerne verstehen, warum diese 3 von mir zitierten HowTo's iptables-Einträge erstellen und das sogar mit dem begleitenden Hinweis versehen, dass es unbedingt notwendig für den Internet-Zugang des Clients ist. Ich habe diese iptables-Einträge nicht gemacht und es klappt trotzdem. Welchen Grund können die also haben, das trotzdem als "notwendig" zu empfehlen?

Ich weiss, dass iptables im Userspace zur Konfiguration der Tabellen der Netzfilter-Module, also die Firewall im Linux-Kernel, verwendet werden.... aber darum geht es nicht. Es geht nur um die Antwort auf die Frage, was der technische Beweggrund für diese Empfehlungen in diesen 3 How-To's sein könnte.

vg, M.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 13.07.2016 06:01 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
MaddinR wrote:
Moin

Also... eigentlich ist es völlig unnötig über eine Firewall zu reden oder was mein Router tut oder nicht tut oder was meine Pläne sind.. Du hast das Thema auf eine Firewall gelenkt und ich wünsche mir eigentlich, dass wir diesen unnötigen Zweig nicht weiter verfolgen. Ich verstehe im Moment leider auch gar nicht, was an meiner Frage so schwer zu verstehen ist.
wozu redest du dann von Firewalleinträgen ?
Quote:
Ich möchte doch nur gerne verstehen, warum diese 3 von mir zitierten HowTo's iptables-Einträge erstellen und das sogar mit dem begleitenden Hinweis versehen, dass es unbedingt notwendig für den Internet-Zugang des Clients ist. Ich habe diese iptables-Einträge nicht gemacht und es klappt trotzdem. Welchen Grund können die also haben, das trotzdem als "notwendig" zu empfehlen?
siehe Firewall was tut sie wie !
Quote:
Ich weiss, dass iptables im Userspace zur Konfiguration der Tabellen der Netzfilter-Module, also die Firewall im Linux-Kernel, verwendet werden.... aber darum geht es nicht. Es geht nur um die Antwort auf die Frage, was der technische Beweggrund für diese Empfehlungen in diesen 3 How-To's sein könnte.

vg, M.

siehe Verständnis: Wie konfiguriere ich eine Firewall korrekt!
Man kann auch was anders machen als man eigentlich wollte ... dann passiert das was du beschreibst (es geht trotzdem, sollte nicht, geht aber wegen Mismatch....)

Was du da von Router und Userspace faselst ...ist wieder etwas ganz anderes.

Ansonsten, den Autor des Artikels fragen was er sich davei gedacht hat

F.

ps: hättest du jemals eine Firewall von Anfang an vollständig aufgesetzt mit den dazugehörigen Tests, hättest du nicht fragen müssen -> also: Verständnis Firewall ...und nicht nur rumklicken auf was "Fertiges"


Top
Offline Profile  
Reply with quote  
 Post subject: Re: iptables - kein technisches, aber ein Verständnisproblem
PostPosted: 13.07.2016 15:38 
Tripple-DES
Tripple-DES

Joined: 03.08.2009 09:57
Posts: 33
So schätzungsweise seit 10 Jahren (vielleicht sogar länger (alter Nick, PWD vergessen)) kenne ich dieses Forum und habe gelegentlich mal eine Frage gestellt. Und seit vielen Jahren hoffe ich, nachdem ich meine Frage gestellt habe, dass Du meine Frage entweder übersiehst oder einfach nicht antwortest und das sich stattdessen jemand damit beschäftigt, der wirklich etwas von der Materie versteht. In diesen vielen Jahren kenne ich von Dir nur dämliches und wichtigtuerisches Geschwafel, ohne auch nur ein einziges Mal dabei tatsächlich hilfreich zu sein. Leider hält dieses dämliche Geschwafel natürlich alle fern, die die Vorstellung von einem konstruktivem Gesprächsklima haben.... man sieht ja, dass dieses Forum geradezu tot ist. Das hast DU jedenfalls großartig hingekriegt.

Ich denke, mein Account kann hier gelöscht werden.... ich brauche keine Profilneurotiker, die mir meine Unkenntnis vorhalten,, sondern Leute die zu helfen bereit sind.... und dazu gehörst Du jedenfalls nicht.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 7 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 14 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net