[gelöst] TCP Wrapper für freetz1.0.1 integrieren + aktivieren

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Die "hosts.deny" sollte man nicht mehr verwenden. D. h. nicht, dass man sie nicht verwenden kann. "allow" und "deny" kannst Du über die Datei "hosts.allow" machen (siehe Beispiel oben). Hast Du vsftpd mit tcp_wrapper-Unterstützung kompiliert?
 
ja das ist meine Frage, wie kompiliere ich vsftpd das es mit TCP Wrapper korrekt zusammen arbeitet ?

Ein Apache läuft auch noch bei mir, der muß dann auch gleich mit TCP Wrapper Unterstützung kompiliert werden ?
 
Wie Du den apache mit tcp_wrapper kompilierst weiss ich nicht, weil ich den nicht benutze. Da muss dir evtl. ein Experte helfen.
Um den vsftpd mit tcp_wrapper-Unterstützung zu kompilieren, musst Du die Patches (Achtung txt-Datein ändern) aus dem Anhang nach dem Auschecken und vor dem Kompilieren, in das Verzeichnis ".../make/vsftpd/patches" kopieren (überschreiben!).
Bitte beachte bei der Verwendung von "hosts.deny":
Zunächst wird den in "hosts.allow" aufgeführten IP-Adressen Zugriff gestattet, anschließend wird die Datei "hosts.deny"ausgewertet.

EDIT:
Die Patches sind für den vsftpd aus dem trunk. Welche Version des vsftpd Du im Freetz-1.0.1 hast, weiss ich nicht. D. h. Du solltest den vsftpd aus dem trunk mit dem vsftpd aus Freetz-1.0.1 vergleichen.

EDIT 2:
Habe gerade gesehen, dass im Freetz-1.0.1 die Version 2.0.6 des vsftpd ist:
Code: 
config FREETZ_PACKAGE_VSFTPD
	bool "Vsftpd [B]2.0.6[/B]"
Das kann jetzt sein, dass Du die Patches evtl. anpassen musst.

EDIT 3:
Den vsftpd-2.2.2 (aus dem trunk) kannst Du auch mit Freetz-1.0.1 kompilieren. Habe es gerade gemacht und geht ohne Probleme (auch mit ssl und static-ssl, auf ausreichend Speicher bitte achten, denn ich weiss nicht ob Du bei Freetz-1.0.1 externalisieren kannst).
 

Anhänge

  • 002-find_libs.patch.txt
    390 Bytes · Aufrufe: 6
  • 006-enable_ssl.patch.txt
    396 Bytes · Aufrufe: 5
Zuletzt bearbeitet:
vielen Dank für die Info´s.
Werde das ganze mit meinem Linux Kumpel testen und gebe dir dann Bescheid wie weit alles geht oder nicht.

Nochmal zu den .allow und .deny Dateien:

Ich möchte nicht erst alles sperren und dann wieder entsprechen erlauben,
ich möchte nur einige IPs sperren, weil ich immer wieder von den gleichen IPs Angriffe bekomme und die kommen aus dem Land der mitte - grrrr
die haben nur wirklich nichts zu suchen bei mir ;)

Ist das so möglich wie ich mir das vorstelle :confused: und schreibe ich dann in die .deny Datei z.B 60.191. um den Zugriff zu unterbinden ? oder muß ich noch mehr tun .....

Dank eurer Hilfe sind wir schon ein ganz Stück weiter gekommen, ist wirklich ein sehr hilfreiches Forum - Danke

Peter
 
it-fisi schrieb:
[...]
Nochmal zu den .allow und .deny Dateien:

Ich möchte nicht erst alles sperren und dann wieder entsprechen erlauben,
ich möchte nur einige IPs sperren, weil ich immer wieder von den gleichen IPs Angriffe bekomme und die kommen aus dem Land der mitte - grrrr
die haben nur wirklich nichts zu suchen bei mir ;)

Ist das so möglich wie ich mir das vorstelle :confused: und schreibe ich dann in die .deny Datei z.B 60.191. um den Zugriff zu unterbinden ? oder muß ich noch mehr tun .....
[...]
Zum Vergrößern anklicken....
Von mir noch nicht getestet, aber versuche mal Folgendes als 1. Zeile in der "hosts.allow":
Code: 
vsftpd : ALL EXCEPT vsftpd: 60.191.
oder evtl. auch mal so als 1. Zeile (ACHTUNG: auf Speicherverbrauch achten, evtl. auslagern!):
Code: 
vsftpd : 60.191. \
: spawn /bin/echo `/bin/date` access denied >> /var/tmp/tcpwrappers.log \
: deny
und dann als 2. Zeile:
Code: 
vsftpd : ALL EXCEPT vsftpd: 60.191.
Evtl. musst Du die Datei "/var/tmp/tcpwrappers.log" vorher anlegen.
 
Zuletzt bearbeitet:
firewall & tcp-wrapper u. company

hi,

hier steht alles zum Thema TCP-wrapper. Vom compielieren bis zum
starten:
http://www.ip-phone-forum.de/showthread.php?t=186546&highlight=tcp +wrapper
Der einzige vorteil vom TCP-wrapper ist das man eine "Firewall" nur für
bestimmte Anwendungen (z.B. vsftpd) erstellen kann. Aber das möchtest du
ja nicht unbedingt.



hier steht alles zum Thema iptables und AVM Firewall:
http://trac.freetz.org/wiki/packages/iptables

Hier siehst du deutlich das die AVM Firewall direkt am DSL eingang
arbeitet und die iptables Firewall danach kommt, dann erst die Fritzbox,
und dann nochmal die iptables für das locale Netzwerk.

Verkehr von und zur FritzBox:
DSL < — > AVM Firewall (NAT) < — > iptables Firewall < — > (FritzBox) <
— > iptables Firewall < — > LAN / WLAN

Verkehr zwischen Internet und LAN Interfaces:
DSL < — > AVM Firewall (NAT) < — > iptables Firewall < — > LAN / WLAN

Verkehr in einer DMZ oder VPN Tunnel zum LAN/WLAN :
DMZ / Tunnel Interfaces < — > iptables Firewall < — > LAN / WLAN

Mein Vorschlag vorschlag ist die AVM Firewall cgi:
deny ip host 60.191.159.180 any connection incoming-related

damit ist natürlich nur ein host gesperrt.
Vielleicht kennt jamand die Syntax um "60.191." zu sperren ???
oder ist das nicht möglich ???

habe dies gefunden:
http://www.realriot.de/2007/05/30/die-interne-fritzbox-stateful-firewall/

Dieser eintrag müsste funktionieren:
deny ip 60.191.0.0 255.255.0.0 any connection incoming-related

by Fishi
 
Zuletzt bearbeitet:
Fishi schrieb:
[...]
Der einzige vorteil vom TCP-wrapper ist das man eine "Firewall" nur für
bestimmte Anwendungen (z.B. vsftpd) erstellen kann.
[...]
Zum Vergrößern anklicken....
Das geht auch mit iptables.
Der TCP-Wrapper kann auch Verbindungen protokollieren und kann Nachrichten zurück senden (... was nicht immer zu empfehlen ist;)). Der TCP-Wrapper hat Funktionen zur Steuerung von Verbindungen. Er ist kein Firewall-Ersatz, sondern eine Ergänzung zur Firewall.
 
Ich denke für it-fisi ist es wichtig ,möglichst einfach, bestimmte IP kreise zu verbannen.

Deine Anleitung zum tcp wrapper und vsftpd ist gut . Ich habe jetzt den tcp wrapper integriert.

Soweit ich testen konnte funktioniert dein Code und Zugriffe werden geloggt.
Code: 
vsftpd : 87.177.  \
: spawn /bin/echo `/bin/date` access denied >> /var/tmp/tcpwrappers.log \
: deny

wenn ich jedoch die zweite Zeile hinzufüge:
Code: 
 vsftpd : ALL EXCEPT vsftpd: 87.177.
wird jeder Zugriff abgewiesen.

Ist die zweite also nicht notwendig ?

danke Fishi
 
OK. Dann ist die 2. Regel nicht erforderlich.
 
Hallo sf3978,

hat zwar einige Zeit gedauert bis wir alles integriert hatten, aber jetzt funktioniert alles.
Vielen Dank für deine Unterstützung - echt supi :groesste:

Gruß Peter
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 741 (Mitglieder: 41, Gäste: 700)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,619
Mitglieder
373,894
Neuestes Mitglied
Hans-Willi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück