hi
ich möchte mir eine firewall mit 3 netzwerkkarten (dmz und lan) bauen bin mir aber mit dem syntax nicht kanz im klaren.
brauche ich die regel für das lan überhaupt?
defaultmässig erlaube ich ja den zugriff von der dmz und lan auf die firewall
ipchains -A input -i $LOCAL_INTERFACE_1 -s $LOCALNET_1 -j ACCEPT
ipchains -A output -i $LOCAL_INTERFACE_1 -d $LOCALNET_1 -j ACCEPT
ipchains -A input -i $LOCAL_INTERFACE_2 -s $LOCALNET_2 -j ACCEPT
ipchains -A output -i $LOCAL_INTERFACE_2 -d $LOCALNET_2 -j ACCEPT
könnte es sein das diese konfiguration alles aufmacht und mist ist und es besser ist mit portforwarding zu lösen.
zb.: ipmasqadm portfw -f
ipmasqadm portfw -a -P tcp -L $IPADDR 80 -R LOCALNET_2 80
# HTTP server (80)
# ----------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
--source-port $UNPRIVPORTS \
-d $IPADDR 80 -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $IPADDR 80 \
--destination-port $UNPRIVPORTS -j ACCEPT
#webzugriff auf die dmz
#---------------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
--source-port $UNPRIVPORTS \
-d $LOCALNET_2 80 -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $LOCALNET_2 80 \
--destination-port $UNPRIVPORTS -j ACCEPT
#kein webzugriff auf das lan
#----------------------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
--source-port $UNPRIVPORTS \
-d $LOCALNET_1 80 -j DENY
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $LOCALNET_1 80 \
--destination-port $UNPRIVPORTS -j DENY
# HTTP client (80)
# ----------------
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
--destination-port 80 -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
--source-port 80 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT