[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall im Intranet (iptables)

Gruesse!
* Manfred Rebentisch <debianlist@comparat.de> schrieb am [18.07.06 06:53]:
> 
> Ich habe einen Firewall-Rechner, der zwei Ethernet-Karten hat. Eine geht an DSL die andere geht 
> direkt zum Server.
> 
> Der Server wiederum hat auch zwei Ethernet-Karten.  Eine geht zur Firewall und die andere zum 
> Switch. Vom Switch gehts an meine Rechner.
> 
> Internet -> FW dsl0 / 192.168.90.1 ->
>        Server 192.168.90.2 / 192.168.100.1 ->
>       -> Client 192.168.100.2
>       -> Client 192.168.100.3
>       -> etc.
> 
> Was ich suche, ist eine Firewall-Konfiguration für den Server (also NICHT für die Firewall), der 
> komplett im Intranet steht.

-> um die Clients zu reglementieren bzw. dich vor den Clients zu
   "schützen"?

> Hier möchte ich nach Bedarf Dienste verbieten oder erlauben.

-> Den Clients verbieten oder erlauben?

Mir erschließt sich deine Absicht noch nicht ganz ;-)
Der Traffic von "außen" wird an der ersten Stelle, an der Pakete aus dem
Internet dein LAN erreichen, reglementiert:

> Die Firewall routet HTTPS und SSH auf einem speziellen Port durch zum
> Server - sonst nix.

Jede Regel, die du am Server triffst, kann ja nur diesen Server vor dem
Zugriff entweder der Clients oder der FW schützen - andere Pakete
erreichen den Rechner ja nicht.

Zu den Diensten, die du den Clients und der FW "bei Bedarf" erlauben
oder verbieten willst: ist deine Absicht z.B. nur _einzelnen_ Rechnern
den Zugriff nicht zu erlauben oder den Zugriff komplett zu sperren? Wenn
letzteres, dann bietet sich eher an den Dienst komplett zu stoppen.

Wenn ersteres, dann bieten viele Services schon in der Konfiguration die
Möglichkeit der Zugriffsregelung auf sich an.

> Zur Zeit habe ich da ein altes 
> restore-Script von der früheren SuSE-Firewall laufen, daß ich nicht wirklich pflegen mag 
> (unnötig komplex).
> Vor allem möchte ich, daß der Firewall-Rechner UND die Client-Rechner root-Mails zum Server 
> senden können (der Server beheimatet auch einen Postfix-Intranet-EMail-Server).

Das wäre dann Regeln wie:
iptables -A INPUT -s 192.168.100.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 192.168.90.1 -p tcp --dport 25 -j ACCEPT

Die an geeigneter Stelle in deinem Regelwerk einfügen.
 
> Also: hat jemand ein Beispiel Script für meine Rechner-Konstellation?

Wohl kaum was "Fertisches", auf dich zugeschneidert;-)
Aber schau dir mal das Paket fwbuilder (apt-cache show fwbuilder) an.
Damit kannst du komfortabel und nachvollziehbare Regeln z.B. für deine
FW und den Server verwalten. Das Programm z.B. auf deinem Arbeits-Client
installieren und die Regeln an die FW/Server übetragen.

> Grüße
> Manfred

Gruß
	Gerhard
-- 
A: Weil es die Lesbarkeit des Textes verschlechtert.
Q: Warum ist TOFU so schlimm?
A: TOFU
F: Was ist das groesste Aergerniss im Usenet?
Reply to: