BOT - Tips und Tricks
 
   

Dieser Abschnitt gibt weitere Hilfestellungen zur Konfiguration von BOT:

Die BOT Konfiguration von einem IPCop auf einen anderen kopieren

Firewall-Log Einträge minimieren / verringern

Filesharing/Gaming

ICMP-Typen (Ping / Pong)


Die BOT Konfiguration von einem IPCop auf einen anderen kopieren

Es gibt verschiedene Szenarien, in denen ist es notwendig die BOT Konfiguration von einem IPCop auf einen anderen IPCop zu kopieren:

  • Beim Ersetzen eines alten IPCop's durch einen neuen IPCop auf verschiedenen Machinen.
  • Das Kopieren der BOT Konfiguration von einer Test Machine auf die Produktiv Machine.
  • Zur Vorbereitung eines Ersatz IPCop's mit der produktiven BOT Konfiguration.
  • etc.

Die BOT Installations- / Deinstallationsroutinen sichern die BOT Konfiguration automatisch und stellen sie wieder her. Vergleiche Installation (im speziellen 'BOT deinstallieren').

Das Kopieren der BOT Konfiguration von IPCop 'A' auf IPCop 'B' ist sehr einfach. Es sind zwei Vorgehensweisen möglich:

  • Falls BOT auf IPCop 'B' bereits installiert ist, deinstallieren Sie es zuerst.
  • Deinstallieren (und Installieren) Sie BOT auf IPCop 'A' und die aktuelle BOT Konfiguration wird in /var/tmp/bot_conf/<BOT_VERSION> gesichert.
  • Dieses Verzeichnis können Sie nun auf IPCop 'B' kopieren.
  • Aufgrund der Re-Installation von BOT müssen Sie BOT auf IPCop 'A' wieder aktivieren.
  • Oder Sie erstellen das Verzeichnis /var/tmp/bot_conf/<BOT_VERSION> auf IPCop 'B'. Der Platzhalter (<BOT_VERSION>) muss exakt der BOT Version auf IPCop 'A' entsprechen, achten Sie darauf! Die Wiederherstellung der Konfiguration auf IPCop 'B' wird nur erfolgreich sein, wenn das Verzeichnis den korrekten Namen hat. Für die BOT Version 2.3 ist der vollständige Pfad '/var/tmp/bot_conf/2.3', für die Version 2.2.2 war es '/var/tmp/bot_conf/2.2.2' und so weiter.
  • Kopieren Sie alle Dateien aus /var/ipcop/fwrules von IPCop 'A' nach /var/tmp/bot_conf/<BOT_VERSION> auf IPCop 'B'.

Die Konfiguration ist nun auf IPCop 'B' kopiert, aber noch nicht wiederhergestellt. Das Wiederherstellen ist einfach (Vergleiche Installation, Abschnitt 'BOT deinstallieren' für eine Beschreibung des Sicherungs- und Wiederherstellungsmechanismus):

  • ZUR ERINNERUNG: Falls BOT bereits auf IPCop 'B' installiert ist, müssen Sie es deinstallieren bevor Sie die Konfiguration von IPCop 'A' nach 'B' kopieren. Andernfalls wird die kopierte Konfiguration bei der Deinstallation des vorhandenen BOT überschrieben!
  • Installieren Sie jetzt BOT auf IPCop 'B'. Die Konfiguration (die Sie nach /var/tmp/bot_conf/<BOT_VERSION> kopiert haben) wird bei der Installation wiederhergestellt.

Die Konfiguration ist jetzt von IPCop 'A' auf IPCop 'B' kopiert.

Sie sollten nun die BOT Konfiguration über das WebGUI überprüfen und die Admin MAC sowie den HTTPS Port in den BOT Einstellungen ändern (falls notwendig).
Die BOT Konfiguration benutzt Variablen, wenn z.B. das 'Grüne Netzwerk' auf IPCop 'A' 192.168.0.* ist und auf IPCop 'B' ist es 10.0.0.*, ermittelt BOT den aktuellen Wert für 'Grüne Netzwerk' und benutzt jetzt 10.0.0.*. Sie müssen keine Anpassungen an der BOT Konfiguration vornehmen, um sie auf IPCop 'B' benutzen zu können.
top

 

Firewall-Log Einträge minimieren / verringern

In einer standard IPCop Installation wird jedes Paket, was von den (standard) Firewall Regel geblockt wird, im Firewall-Log eingetragen. Die Idee hinter dieser Vorgehensweise ist es zu sehen was geblockt wurde, um Hinweise zu erhalten wenn etwas (z.B. die Port-Weiterleitung) nicht so funktioniert wie es sollte. Sie sehen die Log Einträge und werden bei der Fehlersuche unterstützt.

So jetzt aber zum Problem: es werden sehr viele Pakete geblockt (dafür haben Sie ja die Firewall) und geloggt. Durch dieses Logging wird der Firewall Log sehr schnell sehr groß. Auf einem standard IPCop sind 10000 Log Einträge pro Tag keine Seltenheit. Daraus ergeben sich zwei Probleme:

  • Die Einträge, die Sie für die Fehlersuche benötigen verschwinden unter den vielen unerwünschten Log Einträgen.
  • Durch viele Firewall Log Einträge wächst die Größe der Logdatei und es wird mehr Speicherplatz benötigt. Das ist ein Problem bei Systemen mit begrenztem Speicherplatz, speziell auf CF-Karten basierenden Systemen, die zusätzlich auch nur eine begrenzte Anzahl von Schreibzugriffen auf die CF-Karte haben.

Da die ungewünschten Pakete meistens nur an wenige Dienste adressiert sind, ist es einfach die Anzahl der Log Einträge zu minimieren. Hierfür sind nur wenige Firewall Regeln nötig, die die Pakete blockieren aber nicht loggen. Mit diesen Firewall Regeln kann die Anzahl der Einträge von über 10000 pro Tag auf unter 100 reduziert werden!

So zum praktischen Teil: welche BOT Regeln sind notwendig um die Firewall Log Einträge zu reduzieren.

Das folgende Beispiel zeigt wie das Logging für NetBios und TCP 445, da wo die ganzen Skript-Kiddies ihr Glück versuchen, abgeschaltet wird. Zuerst erstellen wir zwei Dienste Gruppen:

  • Deny Gruppe: Diese Gruppe enthält Dienste, die nicht auf dem roten Interface geloggt werden sollen. Zum Beispiel den Dienst 'microsoft-ds', welcher TCP 445 entspricht, soll nicht auf allen Interfaces (einschließlich Grün und Blau) geblockt werden, weil das der Port ist wo die IPCop WebGUI läuft. Ansonsten wäre die WebGUI nicht mehr verfügbar, ein Zugriff wäre nicht mehr möglich.
  • Deny Überall: Diese Gruppe enthält Dienste die an jedem Interface geblockt werden sollen. Diese Gruppe wird die NetBios Dienste enthalten.

Die zwei Dienste Gruppen werden in mehreren BOT Deny Regeln verwendet. Eine Regel mit dem Quell Interface 'Any' und der Dienste Gruppe 'Deny Überall' und eine Regel mit dem Quell Interface 'Red' und der Dienste Gruppe 'Deny Gruppe'. Diese Regeln sollten sowohl im Abschnitt 'Anderes Netzwerk/Outside' als auch im 'IPCop Zugriff' angelegt werden. Normalerweise sollte es ausreichen Regeln für den 'IPCop Zugriff' zu erstellen, ich habe aber schon Firewall Log Einträge von diesen Diensten gesehen, wenn die 'Anderes Netzwerk/Outside' gefehlt haben. Wenn diese Dienste also in 'Anderes Netzwerk/Outside' geblockt werden, werden (sollten) Sie keine entsprechenden Log Einträge erhalten. Wenn Sie die Regeln an den Anfang der Regel Abfolge setzen, werden die Pakete schon gleich zu Beginn geblockt.

Die neuen "minimiere Firewall Log" Regeln sind im nächsten Screenshot mit einem roten Rechteck markiert:

Wenn Sie in Ihrem Firewall Log viele unerwünschte Einträge für einen bestimmten Dienst finden, können Sie diesen Dienst zu einer der Deny Dienste Gruppen hinzufügen und es werden dann keine Firewall Log Einträge mehr für den Dienst erstellt.
top

 

Filesharing/Gaming

Möchten Sie Filesharing ala Torrent benutzten oder Onlinespiele spielen, benötigen Sie eine spezielle BOT Regel. Diese benötigen Sie, weil jeder Torrent Server einen anderen Port(-bereich) benutzen kann und viele Onlinegames eine Menge verschiedene TCP und UDP Ports benutzen. Wenn Sie BOT benutzen, müssten Sie für jeden Port eine eigene Regel erstellen oder Sie müssten eine Dienste Gruppe erstellen welche all diese Ports zusammenfasst. Das wird auch funktionieren, ist aber sehr (Zeit-)Aufwändig.

Eine einfachere (aber auch weniger restriktive) Möglichkeit ist es alle High Ports (1024 - 65535) zu erlauben. Die Well Known Ports (0 - 1023) sind dann weiterhin unter der Kontrolle von BOT, Sie benötigen aber keine große Dienste Gruppe und keine große Menge an BOT Regeln. Solange Sie Onlinegames spielen oder Torrent benutzen aktivieren Sie die spezielle Regel. Sobald Sie die spezielle Regel wieder deaktivieren kontrolliert BOT wieder den kompletten Portbereich (0 - 65535).

Custom Dienst (für die High Ports):

BOT Filesharing/Gaming Regel (mit einem roten Rechteck markiert):


top

 

ICMP-Typen (Ping / Pong)

Ping über BOT Regeln zu erlauben ist einfach aber etwas tricky, Sie müssen einen Custom Dienst mit ICMP (und für weitere Einschränkungen mit ICMP-Typen) anlegen.

Als Beispiel werden wir zwei Custom Dienste mit den ICMP-Typen 'echo-reply (pong)' und 'echo-request (ping)' anlegen und zu einer Dienste Gruppe zusammenfassen.

Custom Dienste:

Dienste Gruppe:

Wenn Sie einem PC Ping erlauben möchten, müssen Sie eine BOT-Erlauben-Regel erstellen und die Dienste Gruppe 'Ping Gruppe' auswählen. Für Ping zum IPCop müssen Sie 'IPCop Zugriff', für den Ping ins Internet oder von Grün nach Orange(DMZ)/Blau müssen sie 'Anderes Netzwerk/Outside' auswählen. Das sollte alles sein, der PC müsste jetzt Ping benutzen können.
top

 

Tips 'n' Tricks zuletzt geändert 21. März 2006

IPCop - The Bad Packets Stop Here

BlockOutTraffic - The Firewall WebGUI Addon for IPCop


 
  Created 2006 by dotzball | Design by wintermute