Re: [Debian]:Firewall
Hallo Holger,
ich habe (von Deinem Ansatz ausgehend) mal ein fast(!) "symmetrisch"
aufgebautes Skript getestet. Ich habe zwei lokale Subnetze
(192.168.100.0/24 und 192.168.200.0/24).
ipchains -F input
ipchains -P input DENY
ipchains -A input -i lo -j ACCEPT
ipchains -A input -i eth+ -s 192.168.100.0/24 -j ACCEPT
ipchains -A input -i eth+ -s 192.168.200.0/24 -j ACCEPT
ipchains -A input -i eth+ -s! 192.168.100.0/24 -j DENY
ipchains -A input -i eth+ -s! 192.168.200.0/24 -j DENY
ipchains -A input -i ippp+ -s 192.168.100.0/24 -j DENY
ipchains -A input -i ippp+ -s 192.168.200.0/24 -j DENY
ipchains -A input -i ippp+ -p TCP -y -j DENY
ipchains -A input -i ippp+ -j ACCEPT
ipchains -F forward
ipchains -P forward DENY
ipchains -A forward -s 192.168.100.0/24 -j MASQ
ipchains -A forward -s 192.168.200.0/24 -j MASQ
ipchains -F output
ipchains -P output DENY
ipchains -A output -i lo -j ACCEPT
ipchains -A output -i eth+ -d 192.168.100.0/24 -j ACCEPT
ipchains -A output -i eth+ -d 192.168.200.0/24 -j ACCEPT
ipchains -A output -i eth+ -d! 192.168.100.0/24 -j DENY
ipchains -A output -i eth+ -d! 192.168.200.0/24 -j DENY
ipchains -A output -i ippp+ -d 192.168.100.0/24 -j DENY
ipchains -A output -i ippp+ -d 192.168.200.0/24 -j DENY
ipchains -A output -i ippp+ -p TCP -y -j ACCEPT
ipchains -A output -i ippp+ -j ACCEPT
Es scheint sogar zu funktionieren. Verbindungen nach draußend werden
zugelassen. Eingehende Verbindungen werden verschluckt. Pakete mit
internen Source-IPs dürfen nicht rein, Pakete mit internen
Destination-IPs dürfen nicht raus. Verbindungsaufbau nach draußen
erlaubt, nach drinnen verboten.
Mich würde ein Statement eines Experten interessieren, ob diese
Konfiguration als simple Ausgangsbasis geeignet ist... Oder gibt es
grobe Schwachstellen?
Viele Grüße
Michael Hierweck
--
PGP - Key-ID: 0xBD64F025
PGP - Fingerprint: BDB1 2E59 7D13 7607 F4F4 B9D8 5CE3 4084 BD64 F025
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 734
Reply to: