# Shorewall Anfänger

## flammenflitzer

Hallo 

Ich habe Shorewall installiert. Scheint nach vielem Ausprobieren die Firewall zu sein, bei der ich bleibe. 

Leider spreche ich kaum englisch. Deshalb nützt mir auch die sehr gute Dokumentation nicht viel. Aus dem gleichen Grund bin ich auch mit der Webmin GUI nicht so recht klar gekommen. 

Aus diesem Grund poste ich mal meine Regeln. Mit ein bißchen Hilfe kommt dann vielleicht eine Beispielkonfiguration für andere heraus, die Shorewall nur einmal ausprobieren wollen. 

################################################## ################################################# 

#RULES # 

################################################## ################################################# 

# loc net lokales Netz -> internet ausgehend ??? 

# net loc internet -> lokales Netz eingehend ??? 

# net fw -> ??? 

# fw net -> ??? 

# loc fw Lokales Netz -> firewall ??? 

# fw loc firewall -> lokales Netz ??? 

# masq fw -> ??? 

# fw masq -> ??? 

#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++ 

# Hier fehlt mir das Verständnis für den Unterschied beispielsweise zwichen loc net und loc fw oder loc net und net fw . Daher wäre jeweils eine kürzere Erklärung nicht schlecht. 

#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++ 

############## 

#PORTBELEGUNG# 

############## 

# Port Protocll Dienst Beschreibung 

# 20 tcp ftp-data File Transfer [Default Data] 

# 21 tcp ftp File Transfer [Control] 

# 23 udp telnet interaktives Arbeiten 

# 25 tcp smtp Simple Mail Transfer 

# 37 udp timeservice Zeitstempeldienst 

# 53 tcp domain Domain Name Server (DNS) 

# 53 udp domain Domain Name Server (DNS) 

# 67 udp dhcp dynamische Internetnummernkonfiguration 

# 68 udp dhcp dynamische Internetnummernkonfiguration 

# 80 tcp http/www World Wide Web HTTP 

# 109 tcp pop2 Post Office Protocol - Version 2 

# 110 tcp pop3 Post Office Protocol - Version 3 

# 119 tcp nntp Network News Transfer Protocol 

# 123 udp ntp genauer Zeitstempeldienst 

# 143 tcp imap Internet Message Access Protocol 

# 137-139 tcp netbios/ip Windows-Shares 

# 137-139 udp netbios/ip Windows-Shares 

# 139 tcp netbios/ip Windows-Ereignisanzeige 

# 177 udp xdmcp X Windows Ankündigungsdienst Linux 

# 389 tcp ldap online Namensverzeichnis 

# 443 tcp https http protocol over TLS/SSL 

# 1024 udp 

# 1214 tcp FastTrack (KaZaa) 

# 2234 tcp soulseek 

# 2242 tcp soulseek 

# 6257 udp winmx napster opennap lopster 

# 4662 tcp edonkey overnet emule amule xmule (4660-4670) 

# 4666 udp edonkey overnet emule amule xmule 

# 6000-6063tcp X11 X Windows für Linux 

# 6699 tcp winmx napster opennap lopster 

# giFT 

# bittorrent 

# gnutella 

# limwire 

# FastTrack (KaZaa) 

# realplayer 

# 8080 tcp http/www World Wide Web HTTP 

# 8008 tcp http/www World Wide Web HTTP 

# Gentoo rsync 

# Gentoo emerge 

#siehe auch hier: http://www.iana.org/assignments/port-numbers

#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++ 

#Hier bräuchte ich noch ein paar Angaben zu Filesharingprogrammen und deren Ports 

#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++ 

####### 

#RULES# 

####### 

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL 

# PORT PORT(S) DEST 

###Lokales Netz > Internet 

###LAN > Internet , d.h. ausgehend ??? 

ACCEPT loc net TCP 20,21,53,80,110,443,1214,4660:4670,10000 

ACCEPT loc net UDP 25,53,4666 

#Internet < LAN , d.h. eingehend ??? 

ACCEPT net loc TCP 20,21,53,80,110,443,1214,4660:4670 

ACCEPT net loc UDP 25,53,4666 

###Namensaufloesung Netbios und SMB ,d.h. Bei der Verwendung von Samba 

ACCEPT fw loc UDP 137:139 

ACCEPT fw loc TCP 139 

ACCEPT loc fw TCP 139 

ACCEPT loc fw UDP 137:139 

###Lokales Netz > Firewall ??? 

ACCEPT loc fw TCP 20,21,53,80,110,443,1214,4660:4670 

ACCEPT fw loc UDP 25,53,4666 

#Internet > Firewall ??? 

ACCEPT net fw TCP 20,21,53,80,110,443,1214,4660:4670 

ACCEPT net fw UDP 25,53,4666 

### 2ter Rechner über NAT ins Internet ??? 

ACCEPT masq fw TCP 20,21,25,53,80,110,443,1214, 

ACCEPT masq fw UDP 53,1214 

### Internet zu 2tem Rechner ??? 

ACCEPT fw masq TCP 20,21,25,53,80,110,443,1214, 

ACCEPT fw masq UDP 53,1214 

#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++ 

#Konfiguration: -2 Rechner RechnerA Linux mit Firewall RechnerB Windows XP mit Zugang zum Internet über RechnerA 

# -RechnerA kann über Samba auf RechnerB zugreifen 

# -RechnerA kann auf Internet zugreifen http htps ftp smtp pop3 amule edonkey giFT (Gnutella OpenFT Fasttrack)LimeWire Gentoo emerge & rsync 

# -RechnerB kann über RechnerA auf das Internet zugreifen http https ftp kazaa smtp pop3 

# -RechnerA kann webmin ausführen -local- 

# Ich gehe davon aus, daß bei den Regeln jede Menge Fehler enthalten sind, da ich bei Punkt 1 nicht dahintergestiegen bin.Außerdem fehlen noch einig Portnummern. 

Dank im voraus 

MfG

----------

## suro

Hm, also als Anfänger in sachen FW würd ich dir KMyifreWall empfehlen:

http://kmyfirewall.sourceforge.net/

Ist ein grafisches Frontend, ladet automatisch alle benötigten Module (sofern du sie richtig im Kernel eingebunden hast) und lässt sich mittels Wizzard total easy einrichten!

Ist natürlich nicht so schlank wie Shorewall, auch klar...

----------

## flammenflitzer

Ist aber auch in englisch. Kann man da ein script (habe mir bei Harry's Linuxseite eines generieren lassen) importieren?

----------

## dakjo

Das einfachste wäre hier wohl englisch zu lernen. So schwer ist das nun wirklich nicht.

----------

## ralph

Also wenn es ganz einfache gehen soll kann ich dir nur firestarter ans Herz legen. Das Ding hat sogar eine wizzard und mit fünf Klicks ist die firewall konfiguriert.

Darüber, wie sinnvoll das ganze ist kann man bestimmt streiten, aber das ist hier ja nicht das Thema.

----------

## flammenflitzer

Da ich unregelmäßige Arbeitszeiten habe und i.d.R. auf Montage bin ist es nicht so einfach englisch zu lernen. Meine Schulzeit liegt auch schon ein paar Jahre zurück. Aber das ist nicht das Thema.

Kann mir vielleicht jemand die Portnummern ergänzen, wenn schon keiner shorewall nutzt?

MfG

----------

## dakjo

Ich war auch drei Jahre lang auf Montage, ( im Osten  :Wink:  ) , hab da nicht nur Englisch sondern auch Linux gelernt. Nur war der Rechner halt nen bissel scheisse zu schleppen.

----------

## flammenflitzer

Auch ein Argument, hilft mir aber in den nächsten Monaten auch nicht viel weiter.

----------

## alekel

Eine Übersicht der Portnummern hast Du garantiert schon auf Deinem Linuxrechner: 

```

less /usr/services

```

 :Wink: 

und das mit den Filesharing Programmen solltest Du googlen. Da hat glaube ich jedes Programm (emule, kazaa und wie sie nicht alle nennen) eigene Ports

----------

## flammenflitzer

/usr/services habe ich nicht. Und cat /etc/services sagt mir nichts über die Ports der Filesharingprogramme, die mir fehlen.

----------

## alekel

sorry, muss natürlich /etc/services lauten. 

Die Ports für Filesharingprogramme, wirst Du da auch garantiert nicht finden. Du solltest Die Ports über google suchen

"emule port" oder sowas in der Richtung und glaube mir da findest Du alles was Du brauchst und das sogar in Deutsch.

ich glaube standardmäßig ist emule mit den Ports

4661 - Server TCP/IP

4662 - Client TCP/IP

4665 - UDP Port

freizuschalten..... aber auch die kann man "umlegen"   :Laughing: 

----------

## flammenflitzer

Ich habe auch schon einige gefunden. Siehe Liste. Ich dachte bloß, daß der ein oder andere solche Programme in Verbindung mit einer Firewall benutzt.Das hätte die Sache vereinfacht. Aber das war wohl ein Irrtum.

----------

## flammenflitzer

bash-2.05b$ cat /etc/shorewall/rules

#########################################################################################################################

############ Anfang #####################################################################################################

#########################################################################################################################

#

#ACTION         SOURCE          DEST            PROTO   DEST    SOURCE  ORIGINALRATE    USER/

#                                                       PORT    PORT(S) DEST   LIMIT    GROUP

#########################################################################################################################

####### DHCP Firewallrechner LAN (nicht notwendig bei statischen IP - Adressen ##########################################

#########################################################################################################################

#

##ACCEPT          loc             fw              udp               67,68

##ACCEPT          fw              loc             udp               67,68

##ACCEPT          net             fw              udp               67,68

##ACCEPT          fw              net             udp               67,68

##ACCEPT          net             loc             udp               67,68

##ACCEPT          loc             net             udp               67,68

#

#########################################################################################################################

####### DNS Firewallrechner -> Internet und LAN -> Internet #############################################################

#########################################################################################################################

#

ACCEPT          fw              net             tcp     53

ACCEPT          fw              net             udp     53

ACCEPT          loc             net             tcp     53

ACCEPT          loc             net             udp     53

#

#########################################################################################################################

####### Allow Ping To And From Firewall #################################################################################

#########################################################################################################################

#

ACCEPT          loc             fw              icmp    8

ACCEPT          net             fw              icmp    8

ACCEPT          fw              loc             icmp

ACCEPT          fw              net             icmp

#

##########################################################################################################################

######## http https (WWW)#################################################################################################

##########################################################################################################################

ACCEPT          fw              net             tcp               80,8080,8008,443

ACCEPT          loc             net             tcp               80,8080,8008,443

#

##########################################################################################################################

#

##########################################################################################################################

##########################################################################################################################

###### Mit den obigen Regeln ist  das Browsen im Internet über beide Rechner möglich #####################################

##########################################################################################################################

##########################################################################################################################

#

##########################################################################################################################

####### pop3 smtp (email)

##########################################################################################################################

#

ACCEPT          fw              net             tcp               25,110

ACCEPT          loc             net             tcp               25,110

#

##########################################################################################################################

##########################################################################################################################

###### Mit den obigen Regeln ist  das Senden und Empfangen von eMails über beide Rechner möglich #########################

##########################################################################################################################

##########################################################################################################################

#

##########################################################################################################################

###### ftp ###############################################################################################################

##########################################################################################################################

#

ACCEPT          fw              net             tcp               20,21,22

ACCEPT          net             fw              tcp               20,21,22

ACCEPT          loc             net             tcp               20,21,22

ACCEPT          net             loc             tcp               20,21,22

#

##########################################################################################################################

###### edonkey emule amule xmule (Filesharing)

##########################################################################################################################

#

#( die Ports 4242 und 3306 sind keine Standartports -> Connection zu ProbenPrinz & ByteDevils

#

ACCEPT          fw              net             tcp               14662,14661,4660:4670,4242,3306

ACCEPT          net             fw              tcp               14662,14661,4660:4670,4242,3306

ACCEPT          loc             net             tcp               14662,14661,4660:4670,4242,3306

ACCEPT          net             loc             tcp               14662,14661,4660:4670,4242,3306

ACCEPT          fw              net             udp               4666,6472

ACCEPT          fw              net             udp               4665

ACCEPT          net             fw              udp               14666

ACCEPT          loc             net             udp               4666

ACCEPT          net             loc             udp               14666

REDIRECT        net             4661            tcp               14662   -

REDIRECT        net             4662            tcp               14662   -

#

###########################################################################################################################

###### giFT (Filesharing)- nur Linuxrechner ###############################################################################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               1213,1509,2211,2213

ACCEPT          net             fw              tcp               1213,1509,2211,2213

#

###########################################################################################################################

##### giFT plugin OpenFT (Filesharing)- nur Linuxrechner ##################################################################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               1539,1215,2215

ACCEPT          net             fw              tcp               1539,1215,2215

#

###########################################################################################################################

###### giFT plugin Gnutella Filesharing)- nur Linuxrechner ################################################################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               3875,3312,4312

ACCEPT          net             fw              tcp               3875,3312,4312

#

###########################################################################################################################

###### LimeWire Gnutella ( Filesharing ) ##################################################################################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               6346,6347

ACCEPT          net             fw              tcp               6346,6347

ACCEPT          loc             net             tcp               6346,6347

ACCEPT          net             loc             tcp               6346,6347

#

###########################################################################################################################

###### giFT plugin FastTrack ( Filesharing Liuxrechner ) KaZaa ( Filesharing Windowsrechner ) #############################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               1214

ACCEPT          net             fw              tcp               1214

ACCEPT          loc             net             tcp               1214

ACCEPT          net             loc             tcp               1214

ACCEPT          fw              net             udp               1214

ACCEPT          net             fw              udp               1214

ACCEPT          loc             net             udp               1214

ACCEPT          net             loc             udp               1214

#

###########################################################################################################################

###### winmx napster ( Filesharing Windowsrechner ) ( auch lopster opennap für Linux ) ####################################

###########################################################################################################################

#

ACCEPT          loc             net             tcp               3218,6699

ACCEPT          net             loc             tcp               3218,6699

ACCEPT          loc             net             udp               3218,6257

ACCEPT          net             loc             udp               3218,6257

#

###########################################################################################################################

###### soolseek  ( Filesharing Linuxrechner ) #############################################################################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               2240 #3234,2242

ACCEPT          net             fw              tcp               2240 #3234,2242

#

###########################################################################################################################

###### bittorent  ( Filesharing Linuxrechner ) #############################################################################

###########################################################################################################################

#

ACCEPT          fw              net             tcp               6881:6999

ACCEPT          net             fw              tcp               6881:6999

#

###########################################################################################################################

###### mldonkey  ( Filesharing Linuxrechner ) #############################################################################

###########################################################################################################################

#

ACCEPT          net             fw              tcp               14001

ACCEPT          fw              net             tcp               14001

#

###########################################################################################################################

####### DirectConnect #####################################################################################################

###########################################################################################################################

#

ACCEPT          net             fw              tcp                 411

ACCEPT          fw              net             tcp                 411

#

###########################################################################################################################

###### overnet ( Filesharing ) ############################################################################################

###########################################################################################################################

#

#ACCEPT          net             fw              udp               20750

#ACCEPT          fw              net             udp               20750

#ACCEPT          net             fw              tcp               20750

#ACCEPT          fw              net             tcp               20750

#

##########################################################################################################################

####### Accept SSH connections from the local network for administration #################################################

##########################################################################################################################

#

ACCEPT          loc             fw              tcp               22

#ACCEPT         loc             fw              udp               53

#

##########################################################################################################################

##########################################################################################################################

###### Mit den obigen Regeln ist Filesharing über beide Rechner möglich ##################################################

##########################################################################################################################

##########################################################################################################################

#

##########################################################################################################################

####### Samba ############################################################################################################

##########################################################################################################################

#

ACCEPT          loc             fw              tcp               137:139

ACCEPT          fw              loc             tcp               137:139

ACCEPT          loc             fw              udp               137:139

ACCEPT          fw              loc             udp               137:139

ACCEPT          loc             fw              udp               1024: 137

ACCEPT          fw              loc             udp               1024: 137

#

#########################################################################################################################

###### Gentoo rsync #####################################################################################################

#########################################################################################################################

#

ACCEPT          fw               net            tcp                873

ACCEPT          net              fw             tcp                873

#

#########################################################################################################################

######## CDDB für XCDRoast ##############################################################################################

#########################################################################################################################

#

ACCEPT          fw               net            tcp                888

#

#########################################################################################################################

####### Original ########################################################################################################

#########################################################################################################################

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

----------

## moe

Wasn das für ne Liste??

Wo ist jetzt eigentlich genau das Problem, oder ist es schon gelöst? BTW, es gibt für webmin ein shorewall-Modul, vielleicht macht das es dir ein wenig einfacher..

----------

## Deever

@flammenflitzer: Wärst du so nett und würdest du bitte CODE-tags verwenden? Mit dem Geraffel mitten im Text sieht es nicht nur Scheiße aus, sondern vertreibt auch noch die, die dir wirklich helfen können. Außerdem sagt /dev/kristallkugel, daß du dich dringend mal mit TCP/IP auseinandersetzen willst.

HTH!

/dev

----------

## flammenflitzer

Tut mir leid, wenn ich Euch Mühe gemacht habe. Ich wollte nur mal eine funktionierende Beispielkonfiguration posten, für den einen oder anderen, der die gleichen Anlaufprobleme hat wie ich.

Ist doch ärgerlich, wenn man sich durch die Suchmaschine kämpft und dann ständig bloß Beiträge mit Fragen, aber ohne Lösung findet. 

Also ich persönlich habe im Moment keine Fragen mehr zur Funktionsweise von Shorewall.

Wobei ich die GUI von Webmin nicht unbedingt gut finde.

MfG

----------

## flammenflitzer

PS: Ich steh auf das Geraffel im Text

----------

