[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Debian]:Firewall

Hallo,

mir war bewusst, daß unser Einwahl-Server gescannt wird, wenn wir im
Internet sind. Doch jetzt wollte ich es genau wissen und habe tcplogd und
icmplogd installiert. Mir war nicht bewusst, daß es so häufig passiert...

Das ist endlich ein Grund bei uns eine Firewall zu installieren, was ich
schon seit längerem vorhatte. Nunja, leider komme ich nicht sehr weit, was
vor allem mit logischen Problemen zu tun hat.

Was ich will:

- alle Zugriffe von innen nach aussen erlauben
- alle Zugriffe von aussen nach innen verbieten, nur ssh bleibt offen
- zusätzliche Sicherheitsmaßnahmen, z.B. Anti-Spoofing-Regeln

Ach ja, unser Einwahlserver hängt natürlich an unserem internen Netz und
unterstützt Masquerading.

Das habe ich (einige Regeln sind zur Zeit auskommentiert, da sie nicht
funktionieren)

LOCALNET="192.168.1.0/24"

# Flush
ipchains -F input
ipchains -F output
ipchains -F forward

# Default-Policy
#ipchains -P input DENY

# Alle Pakete von innen erlauben
#ipchains -A input -i eth0 -s $LOCALNET -j ACCEPT

# Pakete an sich selber erlauben
#ipchains -A input -i lo -j ACCEPT

# gespoofte Adressen loggen und ablehnen
#ipchains -A input -i ippp0 -s $LOCALNET -l -j DENY

# nur Antwort-Pakete von aussen zulassen (SYN-Bit gesetzt)
#ipchains -A input -p TCP -s $LOCALNET -y

# ssh oeffnen (fehlt noch)

# Enable simple IP forwarding and Masquerading
ipchains -P forward REJECT
ipchains -A forward -s $LOCALNET -j MASQ

# alle restlichen Pakete mitloggen
ipchains -A input -l


Anscheinend geht es nicht, weil ich auch alle Pakete von innen auf das
Interface ippp0 erlauben muss. Doch dann ist ja die Spoofing-Regel
hinfällig, oder?

ipchains -A input -i ippp0 -s $LOCALNET -j ACCEPT

oder für beide gleichzeitig

ipchains -A input -s $LOCALNET -j ACCEPT

Wer kann mir weiterhelfen?

Gruß

Holger

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     734
Reply to: