Bernd.Kloss wrote:
Am Mittwoch, 16. August 2006 20:39 schrieb Sandy Drobic:
Karl Sinn wrote:
Hallo,
ich lese mir gerade die Kernel-docs zum Masquerading durch. Dabei ist folgende Frage aufgkommen:
Ist die Firewall lediglich ein Konfigurationsscript für iptables? Wenn du die Suse-Firewall2 meinst: ja.
Sandy Hallo, ich darf mich da nochmal dranhängen, da ich die Frage gerade schon mal gestellt habe und die Antwort nicht gerade erschöpfend war. Im Prinzip hieß es da: ist eh zu schwierig, also lass' es und nimm ein fertiges Tool. Unbefriedigend! Aber irgendwo haben die Cracks sich das ja auch angelesen und die paar Regeln, die man wirklich braucht, sind dann ein 20-Zeiler in einem Startskript im rc-irgendwas. Das ist besser zu überschauen als die SuSEfirewall2. Nochmal: wo kann man sowas auf verständlichem Niveau für Einsteiger (!) nachlesen? HTTP, FTP aktiv, passiv aufmachen, auf eine oder zwei Adressen beschränken, nur zulassen von innen von Rechner A und B, bisschen tcp/udp für die Mulis, ssh rein und raus, nix ping, was braucht man noch? Brauchbare Tipps?
Du wirst da keine erschöpfende Antwort finden, den die notwendigen Regeln sind von Anwendung zu Anwendung verschieden. Wenn die Aufgabenstellung ist, NAT zum Funktionieren zu bringen, damit die Rechner hinter dem Router ins Internet können ist das kein Problem. Wenn du aber die Einstellungen auf optimale Sicherheit trimmen willst, dann kommst du nicht drumherum, dich etliche Wochen mit der Materie zu beschäftigen. Das fängt an mit dem TCP/IP-Grundwissen und geht dann in die Anwendungsprotokolle wie SMTP, FTP, HTTP, DHCP etc. bis zu den Routingprotokollen und IPSec/VPN. Die Susefirewall etwa nimmt einige sinnvolle Voreinstellungen für TCP/IP vor, die du dann in deinem Firewall-Script alle selbst definieren musst. Auch das Logging stellt Suse schon ein. Bei den Anwendungen gibt es einfache Fälle wie HTTP und SMTP, wo es reicht, einen einzigen TCP-Port weiterzuleiten und etwas üblere Fälle wie FTP, wo mehrere Ports geöffnet sein müssen. Ob das dann funktioniert, ist auch eine Frage, wie die grundlegenden Policies definiert wurden. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com