Hi, Met vriendelijke groet / Best regards, Wilfred van Velzen
Arjen de Korte <suse-security@de-korte.org> 2004-03-19 16:23:02
Our Suse machine is configured to masquerade/route and firewall between the internet and our internal network.
Ik weet niet wat je bij de masquerading hebt ingesteld, maar waarschijnlijk maak je geen selectie van de poorten die bereikbaar zijn. Dat is jammer, aangezien het waarschijnlijk helemaal niet nodig is dat iedere interne gebruiker alle services op alle externe IP's kan gebruiken. Ik zou allereerst wat restrictiever zijn in het openen van de toegang naar buiten (alles dicht en alleen de poorten openen die nodig zijn) in plaats van alles open te zetten en alleen ongewenste services af te sluiten. Voor een goede beveiliging van een LAN, is het nodig om een policy op te stellen van wat er wel en niet mag. Met een firewall kun je dan vervolgens die policy afdwingen.
Our policy is to let anything go out. ;-)
How do I configure /etc/sysconfig/SuSEfirewall2 when I want to block access from the internal network (192.168.0.x) to the external internet on port 25 (smtp). Except for the mailserver which has ipnr.: 192.168.0.1 ??
Op zich is dat eenvoudig. In /etc/sysconfig/scripts/SuSEfirewall2-custom de volgende regel toevoegen onder het kopje 'fw_custom_after_antispoofing()', vóór de regel met 'true':
iptables -A forward_int -p tcp --dport 25 -j DROP
I changed this to: iptables -A forward_int -s 192.168.0.1 -p tcp --dport 25 -j ACCEPT iptables -A forward_int -p tcp --dport 25 -j REJECT Because our email server needs to be able to go through!
In deze file staan overigens nog een paar hints voor wat je zou kunnen aanpassen. Verder eraan denken dat in /etc/sysconfig/SuSEfirewall2 de regel met
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
is ingesteld.
I already had this, because I'm trying to be able to use the external IP adres from the inside network, with an extra line in the: fw_custom_before_antispoofing() { section... -- SERCOM Regeltechniek b.v. Heereweg 9 2161 AB Lisse Nederland +31 (0)252 416530 (voice) +31 (0)252 419481 (fax) http://www.sercom.nl/ Op al onze offertes, op alle opdrachten aan ons en op alle met ons gesloten overeenkomsten zijn toepasselijk de METAALUNIEVOORWAARDEN, gedeponeerd ter Griffie van de Rechtbank te Rotterdam, zoals deze luiden volgens de laatstelijk aldaar neergelegde tekst. De leveringsvoorwaarden worden u op verzoek toegezonden.