Re: Firewall (was:Squid)
So Moin, ich bin auch eher ein neuling unter Linux und habe ebenfalls einige fragen zum Firewalling. Bitte nicht schimpfen, wenn die Fragen total bescheuert sind, aber ich bin zur Zeit total verwirrt vom vielen RTFMs und Howtos und .... Ich habe mehrere Windoof-Rechner in einem Netzwerk mit 2 Linuxrechnern am laufen. Der eine Linuxrechner stellt den File- und Webserver für's Intranet dar, der andere soll die Firewall zum Internet bilden. Ich brauche nach draussen nur die Dienste www und ftp. Der Web-/Fileserver soll nach draussen total geschützt/unerreichbar sein. Müssen die benötigten Dienste auf der Firewall auch laufen ? Nein, oder? Wenn ich ipchains aufstelle, brauche ich dann noch die Routing Tabelle ? Brauche ich Masquerading UND ipchains, oder nur 'entweder oder' ? Wenn ich ip_masquerading anschalte, wird doch alles sofort weitergeleitet, ohne die ipchains-rules zu prüfen, oder ? Reicht es, wenn ich alles sperre, und nur TCP:80 freigebe, um mit den Windoof-Rechnern zu surfen ? Jetzt aber mal das wichtigste: Ich höre/lese immer, man könne doch die ipchains-Regeln in ein Shellscript schreiben, daß bei jeden Boot ausgeführt wird. Ja schön, aber wie macht man das, wie muß solch ein Script heissen und/oder wo muß es stehen ?? Und wo stehen die vordefinierten ipchainsregeln und kann ich die einfach ersetzen ? DANKE, ich bin noch blöd, möchte es aber lernen....Jörg --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
<So Moin, <ich bin auch eher ein neuling unter Linux und habe <ebenfalls einige fragen zum Firewalling. <Bitte nicht schimpfen, wenn die Fragen total bescheuert <sind, aber ich bin zur Zeit total verwirrt vom vielen RTFMs <und Howtos und .... da ich auch Beginner bin, kann ich Dich gut verstehen - ging bzw. geht mir genauso <Ich habe mehrere Windoof-Rechner in einem Netzwerk <mit 2 Linuxrechnern am laufen. <Der eine Linuxrechner stellt den File- und Webserver <für's Intranet dar, der andere soll die Firewall zum <Internet bilden. Ich brauche nach draussen nur die <Dienste www und ftp. Der Web-/Fileserver soll nach draussen <total geschützt/unerreichbar sein. ieht bei und ähnlich aus <Müssen die benötigten Dienste auf der Firewall auch laufen ? <Nein, oder? auf dem frierwall sollte so gut wie nichts anderes laufen außer ipchain etc., auf jeden fall nicht web- und fileserver <Wenn ich ipchains aufstelle, brauche ich dann noch <die Routing Tabelle ? meines erachtens nicht, ich habe jedenfall keine expliziet eingerichtet <Brauche ich Masquerading UND ipchains, oder nur 'entweder oder' ? <Wenn ich ip_masquerading anschalte, wird doch alles sofort <weitergeleitet, ohne die ipchains-rules zu prüfen, oder ? ipchains reicht aus, der suse-ansatz ist aus meiner sicht sehr gut (6.4er version), dabei wird eine skript eingerichtet, wobei du recht übersichtlich und gut komentiert die regeln aufsetzt und die dann beim start in ipchain-regeln übersetzt werden. schau mal in der supportdatenbank bei suse rein (masquerading) <Reicht es, wenn ich alles sperre, und nur TCP:80 freigebe, <um mit den Windoof-Rechnern zu surfen ? da sind glaub ich noch ein paar sachen mehr freizuschalten, siehe doku <Jetzt aber mal das wichtigste: <Ich höre/lese immer, man könne doch die ipchains-Regeln in <ein Shellscript schreiben, daß bei jeden Boot ausgeführt wird. <Ja schön, aber wie macht man das, wie muß solch ein Script <heissen und/oder wo muß es stehen ?? <Und wo stehen die vordefinierten ipchainsregeln und kann <ich die einfach ersetzen ? iehe suse-doku bzw. supportdatenbank oder http://www.wiley.com/compbooks/sonnenreich/ die Autoren geben Beispielskripte auf ihrer site aus (in ipchain-syntax). kann man eine menge lernen. vor allem ist das buch zu empfehlen!!!! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Jörg, * Joerg Schwoeppe wrote on 29 Aug 2000:
Ich habe mehrere Windoof-Rechner in einem Netzwerk mit 2 Linuxrechnern am laufen. Der eine Linuxrechner stellt den File- und Webserver für's Intranet dar, der andere soll die Firewall zum Internet bilden. Ich brauche nach draussen nur die Dienste www und ftp. Der Web-/Fileserver soll nach draussen total geschützt/unerreichbar sein. Müssen die benötigten Dienste auf der Firewall auch laufen ? Nein, oder?
Nein. Das sollten sie auch gar nicht. Also wenn sie laufen -> abschalten.
Wenn ich ipchains aufstelle, brauche ich dann noch die Routing Tabelle ?
Die Routing Tabelle brauchst du immer, die wird aber bei SuSE automatisch erzeugt, jedenfalls für die "normalen" Routen. Im Normalfall brauchst du auch keine weiteren.
Brauche ich Masquerading UND ipchains, oder nur 'entweder oder' ?
Beides. Masquerading ist eine Funktion des Kernels, und ipchains ist ein Programm, mit dem man Paketfilter konfiguriert und u.a. auch Masquerading einschalten kann.
Wenn ich ip_masquerading anschalte, wird doch alles sofort weitergeleitet, ohne die ipchains-rules zu prüfen, oder ?
Äh.. wo willst du denn ip_masquerading einschalten ? IMHO gibts das nur als Kernel-Option, und da _muß_ es eingeschaltet sein, damit das überhaupt funktioniert.
Reicht es, wenn ich alles sperre, und nur TCP:80 freigebe, um mit den Windoof-Rechnern zu surfen ?
Nein. Wenn du z.B. noch ftp willst (was du oben ja schon geschrieben hast), dann mußt du zumindest das auch freischalten oder einen ftp-proxy verwenden. Außerdem solltest du DNS freischalten. ICMP zu sperren ist auch keine gute Idee. Was ist mit EMail ?
Jetzt aber mal das wichtigste: Ich höre/lese immer, man könne doch die ipchains-Regeln in ein Shellscript schreiben, daß bei jeden Boot ausgeführt wird. Ja schön, aber wie macht man das, wie muß solch ein Script heissen und/oder wo muß es stehen ?? Und wo stehen die vordefinierten ipchainsregeln und kann ich die einfach ersetzen ?
Also, bei manchen 6er SuSEn gab es /sbin/init.d/masquerade. Das war ein Initskript, welches das Masquerading ein- und wieder ausschalten konnte. Wurde - wenn in /etc/rc.config konfiguriert - bei jedem Start ausgeführt. Aber die Funktionalität dieses Skriptes reicht nicht für eine Firewall. Dann mußt du entweder das Skript ändern, das neue firewals Skript von SuSE verwenden (da war vor kurzem ein Thread zu, glaube ich) oder ein fertiges Firewallpaket nehmen. Anleitungen gibts hier (Howtos evtl nur in englisch): IPChains-Howto Masquerading-Howto http://www.little-idiot.de/firewall/
DANKE, ich bin noch blöd, möchte es aber lernen....Jörg
Ist ein Anfang :) Gruß, Sebastian -- "No worries." - Rincewind Sebastian Helms - mailto:sebastian@helms.sh (PGP available) SuSE-Linux-Mailinglisten-FAQ: http://www.ndh.net/home/s.helms/faq/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
rainer.kasiske@prosolid.de -
sebastian@helms.sh -
webmaster@web-tick.de