Firewall in Abängigkeit des IP-Adresse
Hallo, ich betreibe einen svn- und ssh-Server hinter einem DSL-Router. Leider beherrscht der Router kein Port-Forwarding in Abhängigkeit der Herkunfts-IP, so daß alle Anfragen auf Port 22 und 443 zum Server weitergeleitet werden und die Filterung auf dem Server erfolgen muß. Auf dem Server läuft die SuSE Firewall2 (SuSE 9.3). Meine Frage ist nun, wie ich Regeln erstellen kann, die Zugriff auf Port 22 und 443 nur aus dem Subnet a.b.c.0/23 (und natürlich Vollzugriff aus 192.168.0.0/24) zulassen. Die Konfigurationsdatei der SuSEFirewall scheint diese Möglichkeit nicht zu bieten, da das Konzept der verschiedenen Schnittstellen nicht anwendbar ist (an eth0 hängt ja sowohl das interne als auch das externe Netz). Viele Grüße Dennis
Dennis Mueller schrieb:
Hallo, ich betreibe einen svn- und ssh-Server hinter einem DSL-Router. Leider beherrscht der Router kein Port-Forwarding in Abhängigkeit der Herkunfts-IP, so daß alle Anfragen auf Port 22 und 443 zum Server weitergeleitet werden und die Filterung auf dem Server erfolgen muß.
Auf dem Server läuft die SuSE Firewall2 (SuSE 9.3). Meine Frage ist nun, wie ich Regeln erstellen kann, die Zugriff auf Port 22 und 443 nur aus dem Subnet a.b.c.0/23 (und natürlich Vollzugriff aus 192.168.0.0/24) zulassen. Die Konfigurationsdatei der SuSEFirewall scheint diese Möglichkeit nicht zu bieten, da das Konzept der verschiedenen Schnittstellen nicht anwendbar ist (an eth0 hängt ja sowohl das interne als auch das externe Netz).
Wäre es eine Lösung den DSL Router durch z.B. IPCOP zu ersetzen? Damit hast durekt noch deutlich mehr Möglichkeiten sowie Firewall und Poduktivsystem weiterhin getrennt. Gruß
Ralf Prengel wrote:
Wäre es eine Lösung den DSL Router durch z.B. IPCOP zu ersetzen? Damit hast durekt noch deutlich mehr Möglichkeiten sowie Firewall und Poduktivsystem weiterhin getrennt.
danke für Deine Antwort, einen zweiten Rechner als Firewall abzustellen ist natürlich die optimale Lösung. Allerdings habe ich bei dem Gedanken an den zusätzlichen Stromverbrauch kein gutes Gewissen, so daß ich zur Zeit eine 'Ein-Rechner-Lösung' bevorzugen würde. Viele Grüße Dennis
Dennis Mueller schrieb:
Ralf Prengel wrote:
Wäre es eine Lösung den DSL Router durch z.B. IPCOP zu ersetzen? Damit hast durekt noch deutlich mehr Möglichkeiten sowie Firewall und Poduktivsystem weiterhin getrennt.
danke für Deine Antwort, einen zweiten Rechner als Firewall abzustellen ist natürlich die optimale Lösung. Allerdings habe ich bei dem Gedanken an den zusätzlichen Stromverbrauch kein gutes Gewissen, so daß ich zur Zeit eine 'Ein-Rechner-Lösung' bevorzugen würde.
Es gibt für IPCop auf eine Variante die auf einem Speichermedium laufen kann. Je nach Hardware dürfte ich der der Stromverbrauch dann in Grenzen halten. Gruß
Am Donnerstag, 10. November 2005 10:00 schrieb Dennis Mueller:
(...). Auf dem Server läuft die SuSE Firewall2 (SuSE 9.3). Meine Frage ist nun, wie ich Regeln erstellen kann, die Zugriff auf Port 22 und 443 nur aus dem Subnet a.b.c.0/23 (und natürlich Vollzugriff aus 192.168.0.0/24) zulassen.
So wie immer, sprich so wie wenn kein DSL-Router dazwischen wäre.
Die Konfigurationsdatei der SuSEFirewall scheint diese Möglichkeit nicht zu bieten, da das Konzept der verschiedenen Schnittstellen nicht anwendbar ist (an eth0 hängt ja sowohl das interne als auch das externe Netz).
Klar, dann nimm doch diese Einstellungsmöglichkeit: # 10.) # Which services should be accessible from 'trusted' hosts or nets? # # Define trusted hosts or networks (doesn't matter whether they are internal or # external) and the services (tcp,udp,icmp) they are allowed to use. This can # be used instead of FW_SERVICES_* for further access restriction. Please note # that this is no replacement for authentication since IP addresses can be # spoofed. Also note that trusted hosts/nets are not allowed to ping the # firewall until you also permit icmp. # # Format: space separated list of network[,protocol[,port]] # in case of icmp, port means the icmp type # # Example: "172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22" HTH, Jan -- The trouble with the rat race is that even if you win, you're still a rat.
participants (3)
-
Dennis Mueller
-
Jan Ritzerfeld
-
Ralf Prengel