Mailinglist Archive: opensuse-de (1852 mails)
| < Previous | Next > |
Re: Firewall selbst bauen mit iptables
- From: Markus Feilner <lists@xxxxxxxxxxxxxx>
- Date: Tue, 30 May 2006 15:17:26 +0200
- Message-id: <200605301517.26525.lists@xxxxxxxxxxxxxx>
Am Monday 29 May 2006 16:27 schrieb Andre Tann:
> Hallo Liste.
>
> Nachdem jetzt einige Versuche schiefgegangen sind, mit Hilfe von
> Yast der SuSE-FW2 das gewünschte Verhalten beizubringen[1], möchte
> ich mir jetzt selbst eine Firewall bauen. Hierzu habe ich zwei
> (bzw. zweieinhalb) Fragen:
>
> 1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen
> die Policy zuerst auf DROP stelle, und dann nach und nach die
> Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen?
>
> 2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim
> Starten des Systems keine Lücke entsteht, und die Regeln zum
> frühestmöglichen Zeitpunkt wirksam werden.
>
> Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich
> für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und
> auch einiges gefunden, aber vielleicht weiß jemand etwas, das
> besonders zu empfehlen ist.
>
> Danke!
>
> --
> Andre Tann
ich stimme den anderen voll und ganz zu, von webmin-shorewall und eigenen
iptables-regeln bis zu fwbuilder hat alles seine Vorteile - je nach dem für
was du's brauchst,
Eine Sache würde ich noch hinzufügen:
Die SuSEFirewall custom rules files.
(siehe /etc/sysconfig/SuSEfirewall2 und such mal nach custom)
Damit kann auch die SuSE Firewall ein externes script einbinden, mit dem du
(fast) genau so flexibel bist wie mit einem eigenen Regelwerk.
Da musst du dann allerdings etwas tricksen, wegen der SuSEFW Eigenheiten.
z.B:
SuSE FW kann ja nicht so gut maskieren wie iptables selbst, also:
schalten wir masquerading aus und dann nur für die gewünschten Adress/Port
Kombinationen in unserem Custom File an.
M.E geht das nicht mit SuSE FW selbst. - zumindest nicht bis zur 9.3.
Zur SuSE FW gibts bei Sourceforge ein gutes und umfangreiches (aktuelles?)
Doku-skript-PDF.
:-)
--
Best Regards - Mit freundlichen Grüßen
Markus Feilner
--------------------------
Feilner IT Linux & GIS
Linux Solutions, Training, Seminare und Workshops - auch Inhouse
Kötztingerstr 6c 93057 Regensburg
fon regensburg +49 941 8107989
mobil +49 170 3027092
www: www.feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx
---------------------------------------
My new book - Coming out soon: http://www.packtpub.com/openvpn/book
OPENVPN : Building and Integrating Virtual Private Networks
=======================================
> Hallo Liste.
>
> Nachdem jetzt einige Versuche schiefgegangen sind, mit Hilfe von
> Yast der SuSE-FW2 das gewünschte Verhalten beizubringen[1], möchte
> ich mir jetzt selbst eine Firewall bauen. Hierzu habe ich zwei
> (bzw. zweieinhalb) Fragen:
>
> 1. Gehe ich ein Sicherheitsrisiko ein, wenn ich auf allen Tabellen
> die Policy zuerst auf DROP stelle, und dann nach und nach die
> Regeln dazu baue, die mir den gewünschten Verkehr ermöglichen?
>
> 2. Wie binde ich mein Regelwerk so in den Bootprozeß ein, daß beim
> Starten des Systems keine Lücke entsteht, und die Regeln zum
> frühestmöglichen Zeitpunkt wirksam werden.
>
> Und die zweieinhalbste Frage: weiß jemand eine gute Quelle, wo ich
> für den Firewallbau nachlesen kann? Ich hab schon gegoogelt und
> auch einiges gefunden, aber vielleicht weiß jemand etwas, das
> besonders zu empfehlen ist.
>
> Danke!
>
> --
> Andre Tann
ich stimme den anderen voll und ganz zu, von webmin-shorewall und eigenen
iptables-regeln bis zu fwbuilder hat alles seine Vorteile - je nach dem für
was du's brauchst,
Eine Sache würde ich noch hinzufügen:
Die SuSEFirewall custom rules files.
(siehe /etc/sysconfig/SuSEfirewall2 und such mal nach custom)
Damit kann auch die SuSE Firewall ein externes script einbinden, mit dem du
(fast) genau so flexibel bist wie mit einem eigenen Regelwerk.
Da musst du dann allerdings etwas tricksen, wegen der SuSEFW Eigenheiten.
z.B:
SuSE FW kann ja nicht so gut maskieren wie iptables selbst, also:
schalten wir masquerading aus und dann nur für die gewünschten Adress/Port
Kombinationen in unserem Custom File an.
M.E geht das nicht mit SuSE FW selbst. - zumindest nicht bis zur 9.3.
Zur SuSE FW gibts bei Sourceforge ein gutes und umfangreiches (aktuelles?)
Doku-skript-PDF.
:-)
--
Best Regards - Mit freundlichen Grüßen
Markus Feilner
--------------------------
Feilner IT Linux & GIS
Linux Solutions, Training, Seminare und Workshops - auch Inhouse
Kötztingerstr 6c 93057 Regensburg
fon regensburg +49 941 8107989
mobil +49 170 3027092
www: www.feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx
---------------------------------------
My new book - Coming out soon: http://www.packtpub.com/openvpn/book
OPENVPN : Building and Integrating Virtual Private Networks
=======================================
| < Previous | Next > |