Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
linux firewall mit ipchains

 
Dieses Forum ist gesperrt, Sie können keine Beiträge editieren, schreiben oder beantworten.   Dieses Thema ist gesperrt, Sie können keine Beiträge editieren oder beantworten.    Pro-Linux Foren-Übersicht -> Linux-Forum (alt)
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
fanti
Gast





BeitragVerfasst am: 18. Aug 2000 14:25   Titel: linux firewall mit ipchains

hallo,

ich betreibe einen linux server (suse linux 6.4), der als proxy + router dient. beim aufstellen der firewall regeln (mit ipchains) ergeben sich leider ein paar probleme.

ich möchte alles, was nicht speziell erlaubt ist sperren.

die defaults sehen also so aus.
input deny
forward deny
output deny

das lokale netz (eth0) ist für den input und output vollständig freigegeben, das netz nach aussen (ippp0) soll dagegen total gesperrt sein, bis auf die speziell freigegebenen dienste. das lokale netz besteht auch nur aus wenigen rechnern. alle datenpakete aus, und in das lokale netz werden maskiert.

der normale http-dienst soll über einen squid2 proxy laufen, was auch sehr gut funktioniert, wenn alle default-regeln auf accept stehen, auch wenn die ports 0-1023 auf deny stehen, so funktioniert es problemlos (also auch wenn port 80 geschlossen ist). also die konfiguration des proxy´s stollte korrekt sein.

der squid2 nimmt alle anfragen aus dem lokalen netz auf port 3128 an.

frage:
welche port fuer den input, sowie für den output in das internet werden vom squid2 proxy genutzt, die ich bei der defaulteinstellung deny speziell oeffnen muss, damit ich den proxy problemlos von einem rechner aus dem lokalen netz aus nutzen kann?

vielen dank für eine antwort
fanti
 

hugenay
Gast





BeitragVerfasst am: 18. Aug 2000 15:18   Titel: Re: linux firewall mit ipchains

Ich hab leider Squid nie benutzt, aber zu ipchains fällt mir noch was ein.

Ich denke mal, mit default, meinst du die policy, die müsstest du zu erst setzen. Dann gibst du bestimmte ports frei und kannst schließlich alle, die übrig bleiben zusätlich noch unterbinden (die policy sollte aber reichen, es ist halt gut, hier -l als flag zu setzen um "verbotenes" mitzuloggen)).

Eigentlich benötigst du den Port, den Squid benutzt erst mal nicht (sonst hätt ich vermutet es ist auch 3128), denn du weisst ja, das die http Anfragen in der REgel an Port 80 der besuchten Webserver gehen, also einfach alles, was zu port 80 im extern_Net will, erlauben und natürlich auch, was zurückkommt (aber nie mit dem syn-bit (flag y).
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Linux-Forum (alt) Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy