Mailinglist Archive: opensuse-de (1392 mails)
| < Previous | Next > |
Re: Zugriff nach aussen mit der SuSE-Firewall unterbinden
- From: Sebastian Siebert <freespacer@xxxxxx>
- Date: Wed, 20 Jan 2010 16:32:00 +0100
- Message-id: <4B5721F0.8030601@xxxxxx>
Moin Bernd,
Du kannst auch iptables direkt nutzen, geht schneller und auch etwas
einfacher. :-)
Ich habe mit folgendem Szenario getestet:
192.168.1.1 - Router / Gateway (frei)
192.168.1.2 - interner Rechner (gesperrt)
192.168.1.3 - interner Rechner (frei)
192.168.1.4 - interner Rechner (gesperrt)
192.168.1.5 - restriktiver Rechner (SSH-User dürfen internes Netz
(Intranet) nicht besuchen, aber externes Netz (Internet) ist erlaubt) ;-)
# iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
# iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT
# iptables -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255
-j DROP
Zuerst definiere ich die erlaubten IPs, danach knalle ich eine komplette
IP-Reihe in iptables rein, wo die User nix zu suchen haben. (Heinz hat
ja eine Doku per Link geschickt, aber leider wird nicht auf die IP-Range
eingegangen) Wahlweise kann man auch bei den o.g. freien IPs nur
bestimmte Ports freischalten und die restlichen Ports sperren.
# iptables -nv -L
Kannst du sämtliche Regeln einer Chain auflisten lassen. (Heinz hat
schon dazu was gesagt)
Die Regel kannst du auch ziemlich simple löschen:
# iptables -D OUTPUT 3
Hier löschst du die 3. Regel in der Kategorie OUTPUT.
So klappt es bei mir. Mag sein, dass es eine nicht so grasse Methode
gibt, aber wenigstens bin ich so auf der sicheren Seite. Man möge mich
korrigieren, wenn es eine bessere Methode gibt bzw. ich falsch liegen
könnte. ;-)
--
Gruß Sebastian - openSUSE Member (Freespacer)
<http://de.opensuse.org/Benutzer:Freespacer>
Wichtiger Hinweis zur openSUSE Mailing Liste:
<http://de.opensuse.org/OpenSUSE_mailing_list_netiquette>
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Ich muss ein Testsystem aufsetzen, auf das externe Projektpartner von aussen
Zugriff haben. Anmeldung geschieht per ssh und Schlüsselpäärchen.
Ich würde den externen gerne unterbinden, in unserem Netz rumzuschnüffeln.
Deshalb möchte ich gerne den Zugriff auf alle IP's unseres Netzes ausser dem
NS und den GW unterbinden. Dazu müsset die SuSE-FW ja in der Lage sein.
Fragen:
1. Geht das noch mit yast oder muss ich mich da mit iptables rumschlagen ?
Du kannst auch iptables direkt nutzen, geht schneller und auch etwas
einfacher. :-)
2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder die
Regeln definiert sind ?
Ich habe mit folgendem Szenario getestet:
192.168.1.1 - Router / Gateway (frei)
192.168.1.2 - interner Rechner (gesperrt)
192.168.1.3 - interner Rechner (frei)
192.168.1.4 - interner Rechner (gesperrt)
192.168.1.5 - restriktiver Rechner (SSH-User dürfen internes Netz
(Intranet) nicht besuchen, aber externes Netz (Internet) ist erlaubt) ;-)
# iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
# iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT
# iptables -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255
-j DROP
Zuerst definiere ich die erlaubten IPs, danach knalle ich eine komplette
IP-Reihe in iptables rein, wo die User nix zu suchen haben. (Heinz hat
ja eine Doku per Link geschickt, aber leider wird nicht auf die IP-Range
eingegangen) Wahlweise kann man auch bei den o.g. freien IPs nur
bestimmte Ports freischalten und die restlichen Ports sperren.
# iptables -nv -L
Kannst du sämtliche Regeln einer Chain auflisten lassen. (Heinz hat
schon dazu was gesagt)
Die Regel kannst du auch ziemlich simple löschen:
# iptables -D OUTPUT 3
Hier löschst du die 3. Regel in der Kategorie OUTPUT.
So klappt es bei mir. Mag sein, dass es eine nicht so grasse Methode
gibt, aber wenigstens bin ich so auf der sicheren Seite. Man möge mich
korrigieren, wenn es eine bessere Methode gibt bzw. ich falsch liegen
könnte. ;-)
--
Gruß Sebastian - openSUSE Member (Freespacer)
<http://de.opensuse.org/Benutzer:Freespacer>
Wichtiger Hinweis zur openSUSE Mailing Liste:
<http://de.opensuse.org/OpenSUSE_mailing_list_netiquette>
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |