Hallo Thorsten Hock,
Thorsten Hock schrieb:
Ich kriege die Firewall einfach nicht zum Laufen.
Ich habe eine Externe Karte (eth0) mit statischer Verbindung zmu Internet un zwei interne Karten mit zwei dahinter liegenden Netzen (eth1:192.168.11.0 / eth2:192.168.100.0). Beide Netze sollen auf das Internet, nicht jedoch auf einander zugreifen können.
Wie muss die minimal Konfiguration aussehen, damit ich HTTP und FTP machen kann und mit Ping die Firewall ansprechen kann ?
Die Routing-Tabelle sieht schon richtig aus.
Was meinst du damit? IP-Forwarding?
Wenn nur HTTP/FTP durchgelassen werden soll, würde ich an deiner Stelle einen Proxy-Server aufsetzen und dem Router das Weiterleiten von Paketen verbieten. Ansonsten muss alles, was vom Internet kommt, geblockt werden.
Das mit dem Proxy geht nicht, da ich für die Zukunft offen sein muss und nicht weiss welche Anforderungen morgen gestellt werden.
IP-Forwarding ist eingeschaltet und die Einträge für die jeweiligen Netze sind gemacht (Yast - Routing).
Wie muss die SuSEfirewall2 - Config-Datei aussehen ? Welche Parameter sind zu setzen um http von innen nach aussen zuzulassen (Maskerade ?) und alles andere zu blocken ?
Hmmm, ich bin mir nicht sicher, ob du das nur mit den Standardoptionen hinbekommst. Mit /etc/sysconfig/scripts/SuSEfirewall2-custom geht das aber auf alle Fälle zu lösen. Z.B. kannst du mit den Befehlen iptables -A forward_int -i eth1 -o eth2 -j DROP iptables -A forward_int -i eth2 -o eth1 -j DROP den lokalen Verkehr unterbinden. Weitere Optionen siehe man iptables oder http://www.pl-forum.de/t_netzwerk/iptables.html , wo viele Optionen erklärt sind. In welche Routine die Befehle müssen, weiß ich aber nicht mit 100%iger Genauigkeit. fw_custom_after_antispoofing könnte gehen (Hier habe ich einige Regeln drin). iptables -L -n -v | less zeigt dir nach einem Neustart der FW an, in welcher Reihenfolge die Regeln abgearbeitet werden. Des Weiteren in /etc/sysconfig/SuSEfirewall2: [...] # # 25.) # Do you want to load customary rules from a file? # # This is really an expert option. NO HELP WILL BE GIVEN FOR THIS! # READ THE EXAMPLE CUSTOMARY FILE AT # /etc/sysconfig/scripts/SuSEfirewall2-custom # FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" #FW_CUSTOMRULES="" [...] Kannst du ggf. auch über YaST im Sysconfig-Editor anpassen. Viel Erfolg, Sven