Hallo Liste, ich habe einen Linux Terminal Server der leider "nur" über eine ISDN-Leitung am Internet ist. Da ich keine passende ISDN Karte fand, habe ich ein altes ISDN-LAN-MODEM davorgesetzt. Das Modem macht so eine Art DMZ zum Server der am Hub des Modems verbunden ist. Deshalb hat nun der Server keine Firewall , alle Ports sind offen wie ein Scheunentor. Da ich wegen der schlechten Internetanbindung einen http Proxy verwende ist dieser natürlich nun öffentlich erreichbar. Errichte ich nun über den Yast eine Firewall, dann können die clients nicht mehr am Terminalserver connecten. Ich dachte nun, die für den Client connect benötigten Ports freizugeben, alle anderen eben zu, wäre besser als keine Firewall. Wie muss ich nun vorgehen wenn ich das YAST-Firewall Menü aufrufe ? Wäre die zu schützende externe Schnittstelle eth0 ? Das habe ich probiert, und zunächst einmal wieder alle Ports (also 10:64000) zusätzlich freigegeben um zu testen ob ich mit den clients überhaupt noch connecten kann--ohne Erfolg. Keiner der Dienste die für den client connect laufen müssen ( DHCP ,TFTP, NFS ) scheint erreichbar zu sein. Oder ist noch eine zusätzliche Einstellung in irgendeiner conf-Datei nötig, damit die Portfreigabe funktioniert ? (Daten weiterleiten und Masquerading durchführen ist angekreuzt) Oder wäre es nötig eine zweite Netzwerkkarte einzubauen und dann von eth1 auf eth0 zu routen ? Frank
Hallo Frank, On Mon, Jun 28, 2004 at 09:00:15PM +0200, Frank Thiel wrote:
ich habe einen Linux Terminal Server der leider "nur" über eine ISDN-Leitung am Internet ist. Da ich keine passende ISDN Karte fand, habe ich ein altes ISDN-LAN-MODEM davorgesetzt. Das Modem macht so eine Art DMZ zum Server der am Hub des Modems verbunden ist.
hab ich das jetzt richtig verstanden? Du hast ein Modem mit LAN Anschluss und dein Setup sieht etwa so aus? [terminalserver] ----- [ HUP ] --- [ MODEM ] --- [ ISDN ] ||| [Clients]-----------------+ Wenn dem so ist, dann bitte eine 2. Netzwerkkarte in den Terminalserver und einen separaten firewall Rechner zwischen Terminalserver und HUP. Wenn kein grosser Wert auf Sicherheit gelegt wird tut es evtl. auch nur die 2. Netzwerkkarte im Terminalserver. - alle Dienste auf die interne Netzwerkkarte binden - kein Masquerading, nur Proxies - tcp wrapper benutzen - iptables/SuSEfirewall aufsetzen - opt. aide/tripwire - opt. scanlogd - opt. portsentry - opt. security (kernel) patches - ...
Wie muss ich nun vorgehen wenn ich das YAST-Firewall Menü aufrufe ?
hmm, vorgehen würde ich ganz ohne Yast. Nimm die SuSEFirewall2 Dateien und editiere die direkt. Greetings Daniel -- cat /dev/audio | rsh <otherhost> dd of=/dev/audio (besser netcat statt rsh, dann braucht man keine .rhost-Rechte) oder vielleicht noch besser: ssh ... viel Spass
participants (2)
-
Daniel Lord
-
Frank Thiel