hallo,
ich betreibe einen linux server (suse linux 6.4), der als proxy + router dient. beim aufstellen der firewall regeln (mit ipchains) ergeben sich leider ein paar probleme.
ich möchte alles, was nicht speziell erlaubt ist sperren.
die defaults sehen also so aus.
input deny
forward deny
output deny
das lokale netz (eth0) ist für den input und output vollständig freigegeben, das netz nach aussen (ippp0) soll dagegen total gesperrt sein, bis auf die speziell freigegebenen dienste. das lokale netz besteht auch nur aus wenigen rechnern. alle datenpakete aus, und in das lokale netz werden maskiert.
der normale http-dienst soll über einen squid2 proxy laufen, was auch sehr gut funktioniert, wenn alle default-regeln auf accept stehen, auch wenn die ports 0-1023 auf deny stehen, so funktioniert es problemlos (also auch wenn port 80 geschlossen ist). also die konfiguration des proxy´s stollte korrekt sein.
der squid2 nimmt alle anfragen aus dem lokalen netz auf port 3128 an.
frage:
welche port fuer den input, sowie für den output in das internet werden vom squid2 proxy genutzt, die ich bei der defaulteinstellung deny speziell oeffnen muss, damit ich den proxy problemlos von einem rechner aus dem lokalen netz aus nutzen kann?
vielen dank für eine antwort
fanti
linux firewall mit ipchains
Re: linux firewall mit ipchains
Ich hab leider Squid nie benutzt, aber zu ipchains fällt mir noch was ein.
Ich denke mal, mit default, meinst du die policy, die müsstest du zu erst setzen. Dann gibst du bestimmte ports frei und kannst schließlich alle, die übrig bleiben zusätlich noch unterbinden (die policy sollte aber reichen, es ist halt gut, hier -l als flag zu setzen um "verbotenes" mitzuloggen)).
Eigentlich benötigst du den Port, den Squid benutzt erst mal nicht (sonst hätt ich vermutet es ist auch 3128), denn du weisst ja, das die http Anfragen in der REgel an Port 80 der besuchten Webserver gehen, also einfach alles, was zu port 80 im extern_Net will, erlauben und natürlich auch, was zurückkommt (aber nie mit dem syn-bit (flag y).
Ich denke mal, mit default, meinst du die policy, die müsstest du zu erst setzen. Dann gibst du bestimmte ports frei und kannst schließlich alle, die übrig bleiben zusätlich noch unterbinden (die policy sollte aber reichen, es ist halt gut, hier -l als flag zu setzen um "verbotenes" mitzuloggen)).
Eigentlich benötigst du den Port, den Squid benutzt erst mal nicht (sonst hätt ich vermutet es ist auch 3128), denn du weisst ja, das die http Anfragen in der REgel an Port 80 der besuchten Webserver gehen, also einfach alles, was zu port 80 im extern_Net will, erlauben und natürlich auch, was zurückkommt (aber nie mit dem syn-bit (flag y).