Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Firewall RedHat 8.0

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ROLUX
Gast





BeitragVerfasst am: 20. Nov 2002 19:00   Titel: Firewall RedHat 8.0

Hallo zusammen,
bei mir läuft ein Rechner (delta.home.lan)als TDSL-Router/-Gateway mit einer Firewall:

----- schnipp -----
# Generated by iptables-save v1.2.6a on Fri Nov 15 18:13:32 2002
*nat
:PREROUTING ACCEPT [26:1503]
:POSTROUTING ACCEPT [3:252]
:OUTPUT ACCEPT [3:252]
[0:0] -A POSTROUTING -s 172.16.200.0/255.255.255.0 -o ppp+ -j MASQUERADE
COMMIT
# Completed on Fri Nov 15 18:13:32 2002
# Generated by iptables-save v1.2.6a on Fri Nov 15 18:13:32 2002
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
[10:700] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
[0:0] -A INPUT -i eth0 -s 172.16.200.13 -p tcp --sport 602: --dport 111 -j
ACCEPT
[0:0] -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 602: --dport 900: -j
ACCEPT
[0:0] -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 646: --dport 111 -j
ACCEPT
[0:0] -A FORWARD -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 1024: --dport 634:
-j ACCEPT
[0:0] -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 111 --dport 600: -j
ACCEPT
[0:0] -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 1011 --dport 900: -j
ACCEPT
[0:0] -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 111 --dport 600: -j
ACCEPT
[10:700] -A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Fri Nov 15 18:13:32 2002
------------- schnapp -----------------------

Mir kommen jetzt aber Zweifel an der Richtigkeit; Der Rechner soll ja nicht selbst ins Internet.
Da müsste doch alles mit der FORWARD Chain geregelt werden, oder?
Zwischen den clients und der FW arbeitet noch ein Proxy/Mailserver, der stellt ja eigentlich die Anfragen an die FW und erhält auch die Antworten. Da müssten doch die Protokolle http/https, ftp, pop3 und smtp durch die Forward-Chain, also die entsprechenden Ports (80, 21, 110, 25) freigegeben werden. Ist das richtig oder falsch?
Über eine Antwort würde ich mich freuen.
rolux
 

Slartibartfas
Gast





BeitragVerfasst am: 20. Nov 2002 23:19   Titel: Re: Firewall RedHat 8.0

Die Einstellungen sind so schon korrekt. Die FORWARD-Chain ist allerdings nicht auf die genannten Ports beschränkt, sondern Filtert anhand des Paketstatusses.
 

ROLUX
Gast





BeitragVerfasst am: 21. Nov 2002 19:22   Titel: Re: Firewall RedHat 8.0

Hallo Slartibartfas und Danke für den Hinweis.
Ich hab da mal ne Frage: MUSS die FW über ein script, daß jedesmal beim Hochfahren geladen wird, gestartet werden? Ich habe mir die für mich relevanten Regeln mal zusammengefaßt:

------------- schnipp ----------------

Muster - Firewall für Router/Gateway
Prinzip: Alles ablehnen, was nicht ausdrücklich erlaubt ist.
------------------------------------------------------------
Als "root" einloggen, mit [init 1] auf Runlevel 1 wechseln und auf der Konsole (bash) folgende Kommandos eingeben und jeweils mit [Enter] bestätigen.

# Schritt 1: Module laden
/sbin/modprobe iptables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_forward

# Schritt 2: Alte Einstellungen löschen
iptables -F

# Schritt 3: Grundeinstellung (Policies)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Schritt 4: IP-Chains erstellen

# Input-Chain
iptables -A INPUT -i lo -j ACCEPT # localhost
iptables -A INPUT -p tcp -s 194.25.2.129 --sport 53 --dport 1024: ! --syn -j ACCEPT #DNS T-Online
iptables -A INPUT -p udp -s 194.25.2.129 --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -i eth0 -s 172.16.200.13 -p tcp --sport 602: --dport 111 -j ACCEPT # NFS-Import
iptables -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 602: --dport 900: -j ACCEPT
iptables -A INPUT -i eth0 -s 172.16.200.13 -p udp --sport 646: --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with --tcp-reset # FTP-Identifiktn.


# Forward-Chain
iptables -A FORWARD -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --dport auth -j REJECT --rejectwith --tcp-reset
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Output-Chain
iptables -A OUTPUT -o lo -j ACCEPT # localhost
iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT # DNS T-Online
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 1024: --dport 634: -j ACCEPT # NFS-Import
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p udp --sport 111 --dport 600: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 1011 --dport 900: -j ACCEPT
iptables -A OUTPUT -o eth0 -d 172.16.200.13 -p tcp --sport 111 --dport 600: -j ACCEPT

# Einträge sichern
service iptables save

------------- schnapp --------------------

Kann ich das so lassen? Wie gesagt, die Firewall-Maschine selbst soll nicht ins Internet und da laufen auch keine Server; sie soll mein kleines homenet nur einigermaßen schützen.

Gruß,
rolux
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy