Re: [Debian]:Firewall

Cc: Debian <debian-user-de@jfl.de>
Subject: Re: [Debian]:Firewall
From: Michael Hierweck <michael@hierweck.de>
Date: Thu, 13 Jul 2000 20:16:55 +0200
Message-id: <[🔎] 200007131817.UAA28129@post.webmailer.de>
References: <[🔎] 20000713172820.B2765@deepthought.stresemann>

Hallo Holger,

ich habe (von Deinem Ansatz ausgehend) mal ein fast(!) "symmetrisch"
aufgebautes Skript getestet. Ich habe zwei lokale Subnetze
(192.168.100.0/24 und 192.168.200.0/24).

	ipchains -F input
	ipchains -P input DENY
	ipchains -A input -i lo -j ACCEPT 
	ipchains -A input -i eth+ -s 192.168.100.0/24 -j ACCEPT
	ipchains -A input -i eth+ -s 192.168.200.0/24 -j ACCEPT
	ipchains -A input -i eth+ -s! 192.168.100.0/24 -j DENY
	ipchains -A input -i eth+ -s! 192.168.200.0/24 -j DENY
	ipchains -A input -i ippp+ -s 192.168.100.0/24 -j DENY
	ipchains -A input -i ippp+ -s 192.168.200.0/24 -j DENY
	ipchains -A input -i ippp+ -p TCP -y -j DENY 
	ipchains -A input -i ippp+ -j ACCEPT
	
	ipchains -F forward
	ipchains -P forward DENY
	ipchains -A forward -s 192.168.100.0/24 -j MASQ
	ipchains -A forward -s 192.168.200.0/24 -j MASQ

	ipchains -F output
	ipchains -P output DENY
	ipchains -A output -i lo -j ACCEPT
        ipchains -A output -i eth+ -d 192.168.100.0/24 -j ACCEPT
        ipchains -A output -i eth+ -d 192.168.200.0/24 -j ACCEPT
        ipchains -A output -i eth+ -d! 192.168.100.0/24 -j DENY
        ipchains -A output -i eth+ -d! 192.168.200.0/24 -j DENY
	ipchains -A output -i ippp+ -d 192.168.100.0/24 -j DENY
        ipchains -A output -i ippp+ -d 192.168.200.0/24 -j DENY
        ipchains -A output -i ippp+ -p TCP -y -j ACCEPT 
        ipchains -A output -i ippp+ -j ACCEPT

Es scheint sogar zu funktionieren. Verbindungen nach draußend werden
zugelassen. Eingehende Verbindungen werden verschluckt. Pakete mit
internen Source-IPs dürfen nicht rein, Pakete mit internen
Destination-IPs dürfen nicht raus. Verbindungsaufbau nach draußen
erlaubt, nach drinnen verboten.

Mich würde ein Statement eines Experten interessieren, ob diese
Konfiguration als simple Ausgangsbasis geeignet ist... Oder gibt es
grobe Schwachstellen?

Viele Grüße

Michael Hierweck

-- 
PGP - Key-ID:         0xBD64F025
PGP - Fingerprint:    BDB1 2E59 7D13 7607 F4F4  B9D8 5CE3 4084 BD64 F025

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     734

Reply to:

References:
- [Debian]:Firewall
  - From: Holger Leskien <holger.leskien@gmx.de>

Prev by Date: Re: [Debian]:Wann kommt 2.2 ?
Next by Date: [Debian]:Re: Wann kommt 2.2 ?
Previous by thread: [Debian]:Firewall
Next by thread: Re: [Debian]:Firewall
Index(es):
- Date
- Thread