der runde würfel

6. Juni 2011

50 Euro für Elektroschrott

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , — bigfoot @ 21:10

Hey super, da kauft man fünf Router für 50 Euro (hier das Thema) und dann sind nicht mal die Lizenzen für IP dabei. Natürlich sind auch die Passwörter unbekannt. Nur blöd, dass man die Kiste zwar resetten kann, aber dann die Lizenzen flöten sind.

Da kann ich mich echt drüber aufregen. So ein Dreck. Mal sehen, ob funkwerk so nett ist und für die alten Bintec’s noch die Lizenzen rausrückt. Oh ne, nie wieder etwas kaufen, was nicht genau beschrieben ist, ohne von jemanden, der keine Ahnung hat. EOF.

28. Mai 2011

Cisco PIX Low-Profile Memory

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , — bigfoot @ 11:29

Grr. Derzeit ist meine PIX 515E mit 128 MB Speicher ausgestattet. Das reicht prinzipiell auch. Doch ich habe hier noch weiteren Speicher liegen. Darunter befinden sich auch 128 MB Speicherriegel für Cisco. Da ich derzeit dafür keine Verwendung habe, dachte ich mir, die könnte ich ja in die PIX schrauben. Sogleich die selben aus dem Gehäuse gedreht und die beiden 128 MB Speicherriegel in die Slot gesteckt. Ein Test Start und siehe da, 256 MB.

Also wieder zusammenbauen. Naja, jetzt sind wieder 128 MB drin, denn in die PIX passen nur Low-Profile Speicherriegel. Und davon habe ich nur eine Handvoll 64 MB Riegel. Naja, hat ja auch mir 128 MB funktioniert.

27. Mai 2011

Speedport W 722V und W-Lan

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , , , — bigfoot @ 01:07

Zu unserem VDSL Anschluß haben wir damals einen Speedport W 722V von der Telekom geliefert bekommen. Scheinbar ist dieser aber einer normalen Nutzung mit zwei Notebooks und zwei via W-Lan verbundenen Blackberrys nicht gewachsen. Jedenfalls bricht die Verbindung in regelmäßigen Abständen zusammen. Dann hilft nur ein in das Gerät pusten, denn es ist kurz vor der Kernschmelze. Derzeit behelfen wir uns damit, bei geplanten größeren Downloads oder dem Wunsch des Surfens nachzugehen, entweder ein Kabel zu ziehen oder einen Kühlakku an das Gerät zu befestigen. Dann klappts auch mit dem W-Lan.

In naher Zukunft wird dieser weiße Kunststoffblock, gegen eine Cisco ausgetauscht. Hier haben wir uns jetzt für eine CISCO887VW-K9 entschieden. Dazu noch die Option SL-CNFIL-88x-1Y (Ein Jahres subscription für Content Filtering für/gegen URL/Phishing).

24. Mai 2011

Cisco PIX 515-E vs. Cisco ASA 5520

Kategorie: Computer,Haus,Privat — Schlagwörter: , , , , , , , , , , , , , — bigfoot @ 03:13

Wenn ich mir so meine Pix ansehe, dann denke ich oft daran, mal upzudaten. Doch die ASA5520 kostet mal gleich 4.800 Euro. Nen Batzen Kohle und meine Pix hat eigentlich Power genug. Sogar die VAC+ Karte habe ich Ihr spendiert. Mit 185 M/Bit Firewall Durchsatz, auch nicht gerade langsam. im Rahmen meiner Überarbeitung unseres Netzwerkes zu Hause, hätte ich aber gerne zwei Gigabit Schnittstellen.

Die ASA 5520 hat bereits Standard 4x Gigabit Netzwerkschnittstellen und schafft 450 M/Bit an Firewall Durchsatz. Doch in Anbetracht der Kosten, muss ich mich wohl mit den beiden 100 M/Bit Schnittstellen in der Pix abfinden. Oder gibt es Nutzbare Dual Gigabit Netzwerkkarten, die zwar offiziell nicht Supportet werden, aber funktionieren? Schließlich habe ich damals extra eine UR (Un-Restricted) License geordert und kann 6 Interfaces Konfigurieren.

Hat da jemand einen Tip für mich? Tante Gurgel bezieht sich dann immer auf die Pix 525, doch so einen Trümmer, will ich in meinem Rack zu Hause nicht sehen. Das Auge administriert schließlich mit ;)

Tbc….

9. April 2011

Linux iptables Firewall

Kategorie: Computer — Schlagwörter: , , , , , , , , , , , , , , — bigfoot @ 23:43
Ein Beispiel Script für eine Firewall, einfach ein Script anlegen unter /etc/init.d/firewall und via update-rc…. einbinden.
/etc/init.d/firewall

#!/bin/sh
# Firewallscript von tsmag.de
# Erstellt 8.9.2006, Revision 3 – 08.04.2011

WANIF=”eth1″
LANIF=”eth0″
DMZIF=”eth2″
INTIF=”eth3″

WANIP=”111.111.111.111″
LANIP=”10.100.37.6″
DMZIP=”10.100.38.254″
INTIP=”10.100.39.254″
NTPIP=”132.187.3.3″
EXTDNS=”130.149.4.20 141.1.1.1″
INTDNS=”10.100.37.251″

case “$1″ in

start)
echo “START FIREWALL”
modprobe nf_conntrack_ftp
# Standardverhalten setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Alte Regeln entfernen

iptables -F
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Loopback-IF freigeben

iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -s $WANIP -i lo -j ACCEPT
iptables -A INPUT -s $LANIP -i lo -j ACCEPT
iptables -A INPUT -s $INTIP -i lo -j ACCEPT
iptables -A INPUT -s $DMZIP -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Antworten und bestehende Verbindungen akzeptieren

iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

# Lokales Netzwerk freigeben

iptables -A INPUT -s 10.100.37.0/24 -j ACCEPT
iptables -A OUTPUT -d 10.100.37.0/24 -j ACCEPT

# SSH freigeben

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# Den Zugriff auf die Ext. DNSServer erlauben

for DNSSERV in $EXTDNS
do
iptables -A OUTPUT -p udp -d $DNSSERV –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -d $DNSSERV –dport 53 -j ACCEPT
done
iptables -A OUTPUT -p udp –dport 53 -j REJECT

# Webzugriffe zulassen

iptables -A INPUT -p tcp –dport 80 -i $LANIF -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -i $WANIF -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -i $WANIF -j ACCEPT

# SMTP zulassen

iptables -A INPUT -p tcp -i lo -s 127.0.0.1 –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $LANIF -s $LANIP –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF -s $INTIP –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $DMZIF -s $DMZIP –dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 25 -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i $WANIF –dport 587 -j ACCEPT
iptables -A INPUT -p tcp -i $LANIF –dport 587 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF –dport 587 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 587 -m state –state ESTABLISHED,RELATED -j ACCEPT

# POP3 fuer die Zeit des Testens freigeben

iptables -A INPUT -p tcp -i $LANIF -s 10.100.37.0/24 –dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF -s 10.100.38.0/24 –dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i $DMZIF -s 10.100.39.0/24 –dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 110 -j ACCEPT
# POP3 SSL Freigeben
iptables -A INPUT -p tcp -d $WANIP –dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 995 -m state –state ESTABLISHED,RELATED -j ACCEPT
#SNMP zulassen
iptables -A INPUT -p udp -i lo -d 127.0.0.1 –dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -d 127.0.0.1 –dport 161 -j ACCEPT
# Specific connections
iptables -A INPUT -p udp -s $NTPIP –sport 123 -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -d $NTPIP –dport 123 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT
# Spoofing Attacken unterbinden und DoS
iptables -A INPUT -p tcp -m state –state NEW -m limit –limit 15/minute –limit-burst 3 -j ACCEPT
iptables -N SYN_FLD
iptables -A INPUT -p tcp –syn -j SYN_FLD
iptables -A SYN_FLD -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A SYN_FLD -j DROP
iptables -A INPUT -p icmp -m limit –limit 1/s –limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
#### WEITERES AUS SICHERHEITSGRUENDEN ENTFERNT
;;
stop)
echo “STOP FIREWALL”
iptables -F
iptables -X
# Default Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
status)
echo “SHOW STATUS”
iptables -L -vn
;;
*)
echo “CALL UNDEFINED”
echo “Syntax: $0 {start|stop|status}”
exit 1
;;
esac
Ältere Einträge »

powered by wordpress; my content © 2009 - 2016