Hi Jörg, * Joerg Schwoeppe wrote on 29 Aug 2000:
Ich habe mehrere Windoof-Rechner in einem Netzwerk mit 2 Linuxrechnern am laufen. Der eine Linuxrechner stellt den File- und Webserver für's Intranet dar, der andere soll die Firewall zum Internet bilden. Ich brauche nach draussen nur die Dienste www und ftp. Der Web-/Fileserver soll nach draussen total geschützt/unerreichbar sein. Müssen die benötigten Dienste auf der Firewall auch laufen ? Nein, oder?
Nein. Das sollten sie auch gar nicht. Also wenn sie laufen -> abschalten.
Wenn ich ipchains aufstelle, brauche ich dann noch die Routing Tabelle ?
Die Routing Tabelle brauchst du immer, die wird aber bei SuSE automatisch erzeugt, jedenfalls für die "normalen" Routen. Im Normalfall brauchst du auch keine weiteren.
Brauche ich Masquerading UND ipchains, oder nur 'entweder oder' ?
Beides. Masquerading ist eine Funktion des Kernels, und ipchains ist ein Programm, mit dem man Paketfilter konfiguriert und u.a. auch Masquerading einschalten kann.
Wenn ich ip_masquerading anschalte, wird doch alles sofort weitergeleitet, ohne die ipchains-rules zu prüfen, oder ?
Äh.. wo willst du denn ip_masquerading einschalten ? IMHO gibts das nur als Kernel-Option, und da _muß_ es eingeschaltet sein, damit das überhaupt funktioniert.
Reicht es, wenn ich alles sperre, und nur TCP:80 freigebe, um mit den Windoof-Rechnern zu surfen ?
Nein. Wenn du z.B. noch ftp willst (was du oben ja schon geschrieben hast), dann mußt du zumindest das auch freischalten oder einen ftp-proxy verwenden. Außerdem solltest du DNS freischalten. ICMP zu sperren ist auch keine gute Idee. Was ist mit EMail ?
Jetzt aber mal das wichtigste: Ich höre/lese immer, man könne doch die ipchains-Regeln in ein Shellscript schreiben, daß bei jeden Boot ausgeführt wird. Ja schön, aber wie macht man das, wie muß solch ein Script heissen und/oder wo muß es stehen ?? Und wo stehen die vordefinierten ipchainsregeln und kann ich die einfach ersetzen ?
Also, bei manchen 6er SuSEn gab es /sbin/init.d/masquerade. Das war ein Initskript, welches das Masquerading ein- und wieder ausschalten konnte. Wurde - wenn in /etc/rc.config konfiguriert - bei jedem Start ausgeführt. Aber die Funktionalität dieses Skriptes reicht nicht für eine Firewall. Dann mußt du entweder das Skript ändern, das neue firewals Skript von SuSE verwenden (da war vor kurzem ein Thread zu, glaube ich) oder ein fertiges Firewallpaket nehmen. Anleitungen gibts hier (Howtos evtl nur in englisch): IPChains-Howto Masquerading-Howto http://www.little-idiot.de/firewall/
DANKE, ich bin noch blöd, möchte es aber lernen....Jörg
Ist ein Anfang :) Gruß, Sebastian -- "No worries." - Rincewind Sebastian Helms - mailto:sebastian@helms.sh (PGP available) SuSE-Linux-Mailinglisten-FAQ: http://www.ndh.net/home/s.helms/faq/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com