Firewall ohne Dokumentation nicht nutzbar

    • Firewall ohne Dokumentation nicht nutzbar

      Einer der wichtigsten Gründe, warum ich von einem kommerziellen NAS mit proprietärer Software auf OMV umgestiegen bin, ist die Hoffnung, mehr Sicherheit für das NAS und für die Daten zu erlangen.

      An dem Forums Beitrag "Example of OMV's firewall" (2013-2017) ist zu erkennen, dass an dem in OMV integrierten Netzwerk Firewall kein großes Interesse zu bestehen scheint. Das finde ich schade. Denn der Schutz des NAS und der darauf befindlichen Daten war noch nie so wichtig wie heute.

      Leider ist der integrierte OMV Netzwerk Firewall ohne die Informationen auf den Bildschirmfotos nicht nutzbar.

      Warum werden die Bildschirmfotos nicht auf dem Server des Forums gespeichert? Warum bedient man sich wiederholt einem Hoster der nachgewiesenermaßen ungeeignet ist?

      Gibt es jemanden, der das Thema ein für alle mal und für alle dauerhaft zugänglich und kompakter in diesem Forum dokumentieren kann?
      OMV 4.1.3 - ASRock J5005-ITX - 2 x Crucial 4GB DDR4 - SSD Samsung 840 Pro 128GB - 2 x WD Red 4TB
    • Cranberg wrote:

      Warum werden die Bildschirmfotos nicht auf dem Server des Forums gespeichert?
      Das mußt Du schon den fragen, der vor mehr als einem halben Jahrzehnt irgendwas bzgl. Firewall gepostet hat (ich nehme an, Dir geht's um das hier?)

      Cranberg wrote:

      Gibt es jemanden, der das Thema ein für alle mal und für alle dauerhaft zugänglich und kompakter in diesem Forum dokumentieren kann?
      Gerne: Firewall ist nutzlos für normale OMV-Nutzer (ist eh nur ein Paketfilter). Einfach nur die Dienste aktivieren, die man braucht, dann sind auch nur die Ports offen, die dieser Dienst braucht, und ansonsten übliche Security-Praxis walten lassen.

      Beispiel: FTP quer durchs Internet anno 2019 nutzen zu wollen, ist krank weil Logon Credentials offen übertragen werden (könnten), also bspw. Nextcloud nutzen und dabei drauf achten, dass alles mit TLS abgesichert ist. Dito im LAN alle Maschinen immer schön updaten, damit Security-Fixes zum Tragen kommen und Netzwerkprotokolle die größtmögliche Sicherheit beim Übertragen von Anmeldeinformationen und Daten nutzen.

      Niemals auf den "Never change a running system"-Schwachsinn reinfallen, immer schön patchen und Versionsupgrades zeitnah mitmachen. Fertig.

      Fast fertig. Niemals für die Administration von OMV (oder irgendeinem anderen Kram mit Webinterface) den selben Browser nehmen, mit dem man im Internet surft.
      No more contributions to this project until 'alternative facts' (AKA ignorance/stupidity) are gone

      The post was edited 2 times, last by tkaiser ().

    • After all, you have iptables available and you can add basic rules, what's the problem?
      Most of these guides are sometimes out of date.

      If you absolutely want to use the Firewall, you probably understand the basics. In that case, I do not see the problem and the need for additional guides. Treat OMV like any other linux server running fw spi.

      Personally, I prefer FW on all machines, but this is my approach to the subject and I do not urge anyone to do the same.
      I am using a medieval, clumsy traffic policy because it suits me. I personally block everything in / out and then allow only a specific type of network traffic which I am aware of and want to have. That's my fetish when it comes to network traffic policy. :)

      Very simplified and rather far from perfect. But if you need a starting point for further modification to your needs....
      (I advise against copy / paste without understanding and editing to suit your needs.) :!:
      Display Spoiler

      -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
      -A INPUT -f -j DROP
      -A INPUT -m state --state INVALID -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
      -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
      -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
      -A INPUT -i lo -j ACCEPT
      -A INPUT -p tcp -m tcp --dport 8080 -j DROP
      -A INPUT -p udp -m udp --dport 8080 -j DROP
      -A INPUT -p tcp -m tcp --dport 3389 -j DROP
      -A INPUT -s 192.168.1.1/32 -i enx001e0630caa8 -j ACCEPT
      -A INPUT -d 127.0.0.0/8 -j DROP
      -A INPUT -s 127.0.0.0/8 -i lo -j DROP
      -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
      -A INPUT -j DROP
      -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
      -A OUTPUT -o lo -j ACCEPT
      -A OUTPUT -d 127.0.0.0/8 -j DROP
      -A OUTPUT -d 9.9.9.9/32 -p udp -j ACCEPT
      -A OUTPUT -d 9.9.9.9/32 -p tcp -j ACCEPT
      -A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW -m tcp -j ACCEPT
      -A OUTPUT -p tcp -m tcp --dport 80 -m state --state NEW -m tcp -j ACCEPT
      -A OUTPUT -p tcp -m tcp --dport 21 -m state --state NEW -m tcp -j ACCEPT
      -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
      -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
      -A OUTPUT -p icmp -m icmp --icmp-type any -m limit --limit 1/sec -j ACCEPT
      -A OUTPUT -p icmp -m icmp --icmp-type any -j DROP
      -A OUTPUT -j DROP
    • Morlan wrote:

      Würdest du das netterweise erörtern?
      en.wikipedia.org/wiki/Cross-site_scripting

      Man fängt sich im Internet irgendwas Böses ein, das dann in anderen Browser-Tabs Logon Credentials abfischen kann und am Ende Geräte, die eigentlich nur von intern erreichbar sein sollen, von außen übernehmbar macht.

      Browser sind hochkomplexe Gebilde, in denen Sicherheitslücken naturgemäß ideal gedeihen können. Und etwas solch Anfälliges, das mit einem Bein im Internet steht (Firewalls schützen hier anders als Security-Laien vermuten genau gar nicht), dann zur Administration von oder nur zum Zugriff auf wichtige Daten zu nutzen, ist fast schon fahrlässig.
      No more contributions to this project until 'alternative facts' (AKA ignorance/stupidity) are gone
    • Das, worum's dem Anfrager geht, ist keine "Firewall" sondern ein primitiver Paketfilter. Sowas packt man zwischen das Internet und sein Heimnetz aber wozu dann auch noch aufs NAS? Auf dem macht man nur die Ports auf, die es wirklich braucht und dann ist auch jedwede Firewall, die auf dem NAS selbst läuft, zu mehr als 99% nutzlos.

      Immer fleißig Updates einspielen und Admin-Interfaces von Internet-Zugriff trennen. Das Herumfummeln mit Paketfiltern als Security-Laie ist regelmäßig kontraproduktiv, weil einen ein Paketfilter ohne tieferes Verständnis von IT-Sicherheit nur in falscher Sicherheit wiegt.
      No more contributions to this project until 'alternative facts' (AKA ignorance/stupidity) are gone