hallo
ich habe grade meinen suse rechner zum masquerading server umgebastelt, sprich zum router mit dem ipchains befehl
"ipchains -A forward -s 192.168.0.0/24 -j MASQ"
funktioniert alles wunderbar
nun zu meiner frage:
ich hab keinerlei firewall eigeschaften an meiner kiste ... ist mein rechner jetzt offen wie ein Scheunentor ?
oder muss ich extra eine firewall aufbauen?
cu und danke im vorraus
bert
MASQ und sicherheit
-
jwm
Re: MASQ und sicherheit
Hi Bert,
nee, auf deinem Rechner gelten die normalen Sicherheitseinstellungen, die auch vor dem MASQ aktiv waren - es sei denn, da wären keine <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">)
Aber dein gesamtes Netz dahinter ist angreifbar. Als Minimum an Sicherheit würde ich folgendes hinzufügen (es sei angenommen, der Server geht über ISDN ins Internet, lokal ist er über Ethernet angeschlossen, Netz ist 192.168.1.0):
Nix, was über ISDN reinwill, darf den lokalen Adressbereich benutzen:
/sbin/ipchains -A input -i ippp -s 192.168.1.0/24 -l -j DENY
Wenn du Win-Clients bez. SAMBA laufen hast:
/sbin/ipchains -A forward -j DENY -p udp -s 192.168.1.0/24 137:139
Macht die entsprechenden Ports zwischen lokalem Netz und Internet dicht.
Wenn der Rest (auf dem Server) ordentlich eingestellt ist, hast du etwas mehr Sicherheit.
Ansonsten sei noch der Firewall-Workshop auf www.pro-linux.de empfohlen !
bye,
Jürgen
nee, auf deinem Rechner gelten die normalen Sicherheitseinstellungen, die auch vor dem MASQ aktiv waren - es sei denn, da wären keine <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">)
Aber dein gesamtes Netz dahinter ist angreifbar. Als Minimum an Sicherheit würde ich folgendes hinzufügen (es sei angenommen, der Server geht über ISDN ins Internet, lokal ist er über Ethernet angeschlossen, Netz ist 192.168.1.0):
Nix, was über ISDN reinwill, darf den lokalen Adressbereich benutzen:
/sbin/ipchains -A input -i ippp -s 192.168.1.0/24 -l -j DENY
Wenn du Win-Clients bez. SAMBA laufen hast:
/sbin/ipchains -A forward -j DENY -p udp -s 192.168.1.0/24 137:139
Macht die entsprechenden Ports zwischen lokalem Netz und Internet dicht.
Wenn der Rest (auf dem Server) ordentlich eingestellt ist, hast du etwas mehr Sicherheit.
Ansonsten sei noch der Firewall-Workshop auf www.pro-linux.de empfohlen !
bye,
Jürgen
-
jwm
Re: MASQ und sicherheit
Hi,
Nachtrag:
/sbin/ipchains -A forward -j DENY -p tcp -s 192.168.1.0/24 137:139
muss es heissen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
bye,
Jürgen
Nachtrag:
/sbin/ipchains -A forward -j DENY -p tcp -s 192.168.1.0/24 137:139
muss es heissen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
bye,
Jürgen