BSD-Wiki

Mitschrift einer FreeBSD-Installation

Benutzer-Werkzeuge

Webseiten-Werkzeuge


firewall_auf_einem_remote-server_in_betrieb_nehmen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Nächste Überarbeitung
Vorherige Überarbeitung
firewall_auf_einem_remote-server_in_betrieb_nehmen [2014/02/10 11:51]
rakor angelegt
firewall_auf_einem_remote-server_in_betrieb_nehmen [2017/10/02 13:40] (aktuell)
Zeile 1: Zeile 1:
-===== Allgemein =====+====== Allgemein ​======
 Beim Betrieb eines Remote-Servers,​ also eines Servers zu dem man selbst keinen direkten physikalischen Zugang hat, ist bei einigen Dingen spezielle Vorsicht geboten. Da der Zugang zu einem solchen System ausschließlich per Netzwerkzugriff erfolgen kann sind alle Systemeingriffe die den Bootprozess,​ die Netzwerkkonfiguration,​ den SSH-Zugang und die Firewall betreffen mit spezieller Vorsicht zu genießen. Geht bei einem dieser Aspekte etwas schief kann man sich selbst vom System aussperren und erlangt ohne Rettungssystem (was glücklicherweise die meisten Hoster anbieten) keinen Zugriff mehr auf das System. Beim Betrieb eines Remote-Servers,​ also eines Servers zu dem man selbst keinen direkten physikalischen Zugang hat, ist bei einigen Dingen spezielle Vorsicht geboten. Da der Zugang zu einem solchen System ausschließlich per Netzwerkzugriff erfolgen kann sind alle Systemeingriffe die den Bootprozess,​ die Netzwerkkonfiguration,​ den SSH-Zugang und die Firewall betreffen mit spezieller Vorsicht zu genießen. Geht bei einem dieser Aspekte etwas schief kann man sich selbst vom System aussperren und erlangt ohne Rettungssystem (was glücklicherweise die meisten Hoster anbieten) keinen Zugriff mehr auf das System.
  
Zeile 6: Zeile 6:
 **__//​Hinweis://​__** Dies sind nur Gedankenstützen. Die Verwendung dieser Informationen erfolgt auf eigenes Risiko! **__//​Hinweis://​__** Dies sind nur Gedankenstützen. Die Verwendung dieser Informationen erfolgt auf eigenes Risiko!
  
-===== Sicheres starten der Firewall =====+====== Sicheres starten der Firewall ​======
 Im Folgenden wird davon ausgegangen,​ dass IPFW zur Paketfilterung genutzt werden soll und die notwendigen Variablen zum Start und der Konfiguration von IPFW in ///​etc/​rc.conf//​ gesetzt sind. Die Arbeit erfolgt per ssh auf dem zu konfigurierenden Server. Im Folgenden wird davon ausgegangen,​ dass IPFW zur Paketfilterung genutzt werden soll und die notwendigen Variablen zum Start und der Konfiguration von IPFW in ///​etc/​rc.conf//​ gesetzt sind. Die Arbeit erfolgt per ssh auf dem zu konfigurierenden Server.
  
-======== tmux starten ​========+===== tmux starten =====
 Arbeiten über eine Remote-Verbindung sollten nach Möglichkeit immer über tmux (sysutils/​tmux) oder screen (sysutils/​screen) erfolgen um bei einer abbrechenden Verbindung nicht seine aktuelle Arbeit zu verlieren. Arbeiten über eine Remote-Verbindung sollten nach Möglichkeit immer über tmux (sysutils/​tmux) oder screen (sysutils/​screen) erfolgen um bei einer abbrechenden Verbindung nicht seine aktuelle Arbeit zu verlieren.
 Im Folgenden wird mit **tmux** gearbeitet. Im Folgenden wird mit **tmux** gearbeitet.
Zeile 18: Zeile 18:
 Nach dem Start von tmux hat man ein gegen Verbindungsabbrüche geschütztes Terminal. Bei Abbruch der Netzwerkverbindung,​ z.B. weil die Firewall den Datenverkehr kappt, wird die **tmux**-session detached und läuft im Hintergrund weiter. Nach dem Start von tmux hat man ein gegen Verbindungsabbrüche geschütztes Terminal. Bei Abbruch der Netzwerkverbindung,​ z.B. weil die Firewall den Datenverkehr kappt, wird die **tmux**-session detached und läuft im Hintergrund weiter.
  
-======== Notbremse starten ​========+===== Notbremse starten =====
 Im geöffneten **tmux**-Terminal wird der folgende Befehl abgesetzt. Im geöffneten **tmux**-Terminal wird der folgende Befehl abgesetzt.
 <​code>​ <​code>​
Zeile 29: Zeile 29:
 **__//​Wichtig://​__**:​ Der Aufruf **/​etc/​rc.d/​ipfw stop** funktioniert **nur** wenn in der ///​etc/​rc.conf//​ die Zeile **firewall_enable="​YES"​** steht! Es kann sicherer sein dies vorher zu testen! **__//​Wichtig://​__**:​ Der Aufruf **/​etc/​rc.d/​ipfw stop** funktioniert **nur** wenn in der ///​etc/​rc.conf//​ die Zeile **firewall_enable="​YES"​** steht! Es kann sicherer sein dies vorher zu testen!
  
-======== Es ging etwas schief ​========+===== Es ging etwas schief =====
 Wenn man sich nun mit der neuen Firewallkonfiguration ausgesperrt hat muss man lediglich die 300 Sekunden abwarten bis die Firewall wieder gestoppt wird. Wenn man sich nun mit der neuen Firewallkonfiguration ausgesperrt hat muss man lediglich die 300 Sekunden abwarten bis die Firewall wieder gestoppt wird.
  
-======== Es hat alles geklappt die Firewall läuft ​========+===== Es hat alles geklappt die Firewall läuft =====
 Wunderbar, die Firewall läuft und es wurde bereits getestet ob es noch möglich ist neue Verbindungen per ssh aufzubauen (!!). Wunderbar, die Firewall läuft und es wurde bereits getestet ob es noch möglich ist neue Verbindungen per ssh aufzubauen (!!).
  
Zeile 41: Zeile 41:
 und die noch wartende **sleep**-Anweisung mit //strg+c// abgebrochen werden. und die noch wartende **sleep**-Anweisung mit //strg+c// abgebrochen werden.
  
-===== Wichtig =====+====== Wichtig ​======
 **Wenn die 300 Sekunden abgelaufen sind ist die Firewall deaktiviert. Ein Starten der Firewall nach den 300 Sekunden ist nicht mehr per //​Notbremse//​ geschützt!** **Wenn die 300 Sekunden abgelaufen sind ist die Firewall deaktiviert. Ein Starten der Firewall nach den 300 Sekunden ist nicht mehr per //​Notbremse//​ geschützt!**
  
firewall_auf_einem_remote-server_in_betrieb_nehmen.txt · Zuletzt geändert: 2017/10/02 13:40 (Externe Bearbeitung)

Impressum