Firewall: Blacklist für Shorewall einrichten

Download PDF

Und wieder ein Web- Besucher aus der Volksrepublik China, der regelmäßig versucht, einen Zugang auf dem Server zu erlangen. Hunderte Male wird dann Port 25 vom Besucher bearbeitet, obwohl der SASL Zugang vom SMTP hält. Zähneknirschend sitzt man dann vor dem logfile des eigenen Servers…. Wie kann ich diesen Besucher fernhalten? Dazu haben die Shorewall Programmierer die Firewall mit einer relativ einfachen blacklist Funktion ausgestattet.

Zuerst wird im Ordner /etc/shorewall eine Datei mit dem Namen blacklist angelegt. Diese Datei hat einen einfachen Aufbau:

Wie Admina im Bild sieht, kann man einzelne Rechner oder ganze Netz-Segmente (/24) aussperren. Alle Rechner aus den gelisteten Netzen (und Einzelrechnern) wird z.B. der Zugang über das TCP Protokoll auf Port 25 (also smtp) versperrt.

Dann muss natürlich Shorewall in der /etc/shorewall/interfaces gesagt werden, an welcher Netzwerkkarte das blacklisted angewandt wird:

Nach den Anpassungen ist (unter Ubuntu) ein sudo shorewall restart oder ein Neustart des Servers notwendig. Vorteil davon ist auch, dass damit alle bestehenden Verbindungen – also auch die Bösen – erstmal beendet werden. Denn dieses sogenannte ’statische‘ blacklisted, wirkt nur bei Verbindungen, die neu aufgebaut werden.

Die erfolgreiche Abwehr (DROP) ist in der Datei /var/log/kern.log mit dem Schlüsselwort ‚blacklst‘ vermerkt. Also nochmal kurz: Datei interfaces erweitern, Datei blacklist anlegen, restart Shorewall oder Server, kern.log prüfen.

Wenn sich jetzt Admina fragen sollte, wo man die bösen IP-Adressen herbekommt, der sollte sich mal regelmäßig seine logfiles unter /var/log anschauen! Dazu bist Du Admina! (Wobei ich in diesen blog zum Thema Server-Check auch schon ein posting habe.)

Alles ohne Garantie und have fun…

| Doku Shorewall blacklist | Doku (ausführlicher) |

Hinterlasse einen Kommentar

1 Kommentar auf "Firewall: Blacklist für Shorewall einrichten"

Benachrichtige mich zu:
avatar
1000
Sortiert nach:   neuste | älteste | beste Bewertung
trackback

[…] sicherer und wie überprüfe ich, dass er sicher ist? Dazu habe ich in diesen Blog den einen und anderen Beitrag schon geschrieben. Mit diesen Artikel will ich kurz die Anwendung ‘rkhunter’ […]

wpDiscuz