Am Monday 29 May 2006 16:27 schrieb Andre Tann:
Hallo Liste.
Nachdem jetzt einige Versuche schiefgegangen sind, mit Hilfe von Yast der SuSE-FW2 das gewünschte Verhalten beizubringen[1], möchte ich mir jetzt selbst eine Firewall bauen. Hierzu habe ich zwei (bzw. zweieinhalb) Fragen:
1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen die Policy zuerst auf DROP stelle, und dann nach und nach die Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen?
2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim Starten des Systems keine Lücke entsteht, und die Regeln zum frühestmöglichen Zeitpunkt wirksam werden.
Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und auch einiges gefunden, aber vielleicht weiß jemand etwas, das besonders zu empfehlen ist.
Danke!
-- Andre Tann
ich stimme den anderen voll und ganz zu, von webmin-shorewall und eigenen iptables-regeln bis zu fwbuilder hat alles seine Vorteile - je nach dem für was du's brauchst, Eine Sache würde ich noch hinzufügen: Die SuSEFirewall custom rules files. (siehe /etc/sysconfig/SuSEfirewall2 und such mal nach custom) Damit kann auch die SuSE Firewall ein externes script einbinden, mit dem du (fast) genau so flexibel bist wie mit einem eigenen Regelwerk. Da musst du dann allerdings etwas tricksen, wegen der SuSEFW Eigenheiten. z.B: SuSE FW kann ja nicht so gut maskieren wie iptables selbst, also: schalten wir masquerading aus und dann nur für die gewünschten Adress/Port Kombinationen in unserem Custom File an. M.E geht das nicht mit SuSE FW selbst. - zumindest nicht bis zur 9.3. Zur SuSE FW gibts bei Sourceforge ein gutes und umfangreiches (aktuelles?) Doku-skript-PDF. :-) -- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Coming out soon: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks =======================================