Posts by lordlamer

Firewallregeln mit Ferm

Feb14
2011 Written by lordlamer

Wer wie ich nicht gerne direkt iptables Regeln selber schreiben möchte sollte sich mal ferm angucken. Unter Debian lässt sich das Paket ganz einfach installieren mit:

aptitude install ferm

Und schon ist ferm installiert. Um ferm global zu aktivieren oder zu deaktivieren kann man den Schalter ENABLED in der Datei /etc/default/ferm auf YES oder NO setzen.

In meiner folgenden Konfiguration habe ich sowohl Regeln für IPv4 als auch IPv6. Eingehende Verbindungen über IPv4 oder IPv6 werden eingeschränkt. Bei den IPv4 Verbindungen habe ich auch ein Source- und Destination-Limit eingebaut.

Die Konfiguration befindet sich selber in der Datei /etc/ferm/ferm.conf. Und hier endlich eine Beispielkonfiguration:

table filter {
 chain INPUT {
 policy DROP;

 # connection tracking
 mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;

 # allow local packages
 interface lo ACCEPT;

 # respond to ping
 proto icmp icmp-type echo-request ACCEPT;

 # allow IPsec
 #proto udp dport 500 ACCEPT;
 #proto (esp ah) ACCEPT;

 # allow SSH connections on port 63333
 proto tcp dport 63333 {
 # source limit
 mod connlimit connlimit-above 10 REJECT;
 # destination limit
 mod connlimit connlimit-above 20 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # http
 proto tcp dport (80 443) {
 # source limit
 mod connlimit connlimit-above 50 REJECT;
 # destination limit
 mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # ftp
 proto tcp dport ftp {
 # source limit
 mod connlimit connlimit-above 5 REJECT;
 # destination limit
 mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # smtp
 proto tcp dport (25 465) {
 # source limit
 mod connlimit connlimit-above 20 REJECT;
 # destination limit
 mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # pop3
 proto tcp dport (110 995) {
 # source limit
 mod connlimit connlimit-above 20 REJECT;
 # destination limit
 mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # imap
 proto tcp dport (143 993) {
 # source limit
 mod connlimit connlimit-above 20 REJECT;
 # destination limit
 mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # sieve
 proto tcp dport 2000 {
 # source limit
 mod connlimit connlimit-above 5 REJECT;
 # destination limit
 mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;

 ACCEPT;
 }
 }
 chain OUTPUT {
 policy ACCEPT;

 # connection tracking
 #mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;
 }
 chain FORWARD {
 policy DROP;

 # connection tracking
 mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;
 }
}

# IPv6:
domain ip6 table filter {
 chain INPUT {
 policy DROP;

 # connection tracking
 #mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;

 # allow local connections
 interface lo ACCEPT;

 # allow ICMP (for neighbor solicitation, like ARP for IPv4)
 proto ipv6-icmp ACCEPT;

 # allow SSH connections on port 63333
 proto tcp dport 63333 ACCEPT;

 # http
 proto tcp dport (80 443) ACCEPT;

 # ftp
 proto tcp dport ftp ACCEPT;

 # smtp
 proto tcp dport (25 465) ACCEPT;

 # pop3
 proto tcp dport (110 995) ACCEPT;

 # imap
 proto tcp dport (143 993) ACCEPT;

 # sieve
 proto tcp dport 2000 ACCEPT;
 }

 # outgoing connections are not limited
 chain OUTPUT policy ACCEPT;

 # this is not a router
 chain FORWARD policy DROP;
}

Bei Fragen oder Anmerkungen meldet euch doch einfach.

Posted in Debian, IPv6 - Tagged , ,

Voll Durchstarten mit IPv6 in 2011

Feb14
2011 Written by lordlamer

Nachdem wir jetzt schon eine ganze Weile mit unserem internen Netzwerk IPv6 fahren soll es jetzt auch den Servern im Rechenzentrum an den Kragen gehen. Demnächst soll die Zuschaltung der IPv6 Adressen erfolgen. Danach kann ich dann anfangen die IPv6 Adressen an die Server zu verteilen und die AAAA-Records im DNS anzulegen.

Intern laufen wir über den Tunnelbroker Sixxs. Dies wird sich wohl auch kurzfristig leider nicht ändern. Eigentlich schade. Liebe Provider, viele Leute warten darauf!

Ich halte euch über aktuelle Entwicklungen auf dem laufenden!

Posted in Company, IPv6

svn add missing

Feb14
2011 Written by lordlamer

Da ich es mir auch öfters nochmal raus suchen muss. Hier als Notiz für mich und den Rest der Welt.

Wenn man einen Bulk add in Subversion machen möchte sollte man der Shell einfach folgendes nutzen:

svn st | grep ^? | awk '{print $2}' | xargs svn add
Posted in Company, misc

Auf den 2. Blick

Feb14
2011 Written by lordlamer

2. Wochen nach dem Umzug sieht es jetzt so aus. Etwas aufgeräumter und Poster hängen auch an der Wand. Wirkt somit schon etwas heimischer. Aber die Einrichtungsphase ist noch nicht abgeschlossen. Es soll noch ein neuer Schreibtisch folgen und ein schöner Kalender für die Wand.

Posted in Company

Willkommen auf dem Bauplatz

Feb11
2011 Written by lordlamer

Sabrina und ich haben letztes Jahr entschieden für unsere kleine Familie ein neues zu Haus zu suchen. Gefunden haben wir das Haus noch nicht. Aber den Bauplatz haben wir. Es führt uns nach Schwarzenbek in 2011. Wir halten euch natürlich darüber auf dem laufenden.

Hier die ersten winterlichen Bilder vom Bauplatz Dezember 2010.

Posted in Hausbau

Blick ins neue Büro

Feb11
2011 Written by lordlamer

Letzte Woche, 1. Tag im neuen Büro. Es sieht noch alles etwas unaufgeräumt und leer aus. Aber dies hat sich mitlerweile schon geändert.

Posted in Company

Frühjahrsputz

Feb11
2011 Written by lordlamer

Nicht erschrecken… Ja du schaust richtig. Ein neues Layout. Ich habe mich kurzfristig entschlossen mal WordPress auszuprobieren. Wir werden hier also sehen was die Zukunft so bringt.

Die alte Seite mit ihren Inhalten ist natürlich noch erreichbar unter:

Für Anmerkungen, Hinweise und sonstige Sachen könnt ihr gerne Kommentare hinterlassen oder direkt auf mich zukommen.

Posted in misc - Tagged ,
Newer Entries »

Categories