Hi, ich habe eine kurze Frage: Hat jemand eine genaue Anleitung zum Aufbau einer Firewall unter SuSE Linux 7.2 oder 7.3 ?? Danke Gruß Daniel
Hallo Daniel Plies, Am Sonntag, 4. November 2001 um 13:53 schriebst Du 1) als erstes stellst Du mal Deine $§&%&$§&%$ HTML Mails aus. Formatierte Emails sind schon übel genug, aber mit Hintergrundbild das treibt sogar mich zur Weissglut... DP> ich habe eine kurze Frage: Hat jemand eine genaue Anleitung zum Aufbau DP> einer Firewall unter SuSE Linux 7.2 oder 7.3 ?? 2) beiden Suse Versionen enthalten eine Firewall von SuSE. Entweder die Firewall1 für ipchains oder Firewall2 für IP Tables. Solltest Du den Kernel 2.4.x einsetzen, dann nehme die Firewall2.3 3) Man könnte Alternativ bei freshmeat.net nach "Firewall" schauen, oder komplett selber starten. Aber bei HTML Formatierten Mails mit Hintergrundmails würde ich die erste Variante vorziehen... cu stonki
-----Original Message----- From: Daniel Plies [mailto:dplies@pc-webnetz.de] Sent: Sunday, November 04, 2001 1:54 PM To: suse-linux@suse.com Subject: Linux Firewall Hi, ich habe eine kurze Frage: Hat jemand eine genaue Anleitung zum Aufbau einer Firewall unter SuSE Linux 7.2 oder 7.3 ?? Hallo, und das ganze bitte als nicht html mail, ung ohne hintergrundbild. Danke, -- MfG Yann Wissenbach www : http://www.world-wide-wait.de http://www.vw-opel-ig.de mail : yann@world-wide-wait.de ICQ : 98297452 Linux - Life is too short for reboots
Daniel Plies wrote:
Hi,
ich habe eine kurze Frage: Hat jemand eine genaue Anleitung zum Aufbau einer Firewall unter SuSE Linux 7.2 oder 7.3 ??
muss das HTML sein und dann noch mit Bild?. Du wirst dir hier damit keine Freunde machen! und was deine Frage angeht: Tu doch mal wwenigstens so als hättest du das Listenarchiv bemüht. Es ist nämlich gar nicht so lange her, da gab es hier einen Thread namens: Deutsches Howto für Firewall? in dem einige gute URL's genannt wurden. z.B.: http://www.tecchannel.de/betriebssysteme/695/index.html http://www2.little-idiot.de/firewall/ http://selflinux.sourceforge.net/inhalt.php#top http://directory.google.com/Top/World/Deutsch/Computer/Sicherheit/Firewall/ Viel Spass beim lesen und verstehen -fen
Griasdebua! Am Sonntag, 4. November 2001 13:53 schrieb Daniel Plies:
ich habe eine kurze Frage: Hat jemand eine genaue Anleitung zum Aufbau einer Firewall unter SuSE Linux 7.2 oder 7.3 ??
Na, wie kurz soll die Antwort den sein. Also die kürzeste Fassung würde bei mir auf Deine Frage lauten: " JA ICH", aber ich denke mal, das hilft DIr auch nicht recht viel weiter. Also wenn Du etw folgende Konfiguration hast, dann kann ich Dir relativ schnell helfen, auch mit einem passenden Muster-Script! Konfiguration in meinem SOHO: | | | <----- Verbindung zum Internet | über DSL-Modem (!) zu | t-longline (flatrate) | +-----+-----+ | eth0 | | | +-----+ | eth1 +--------------+ Hub | | | +-+-+-+ | "Server" | | | +-----------+ | | | | +-----------+ | | | | | | | | | | | eth0 +----------------+ | | | | | "clientA" | | +-----------+ | | +-----------+ | | | | | | | | eth0 +------------------+ | | | "clientB" | +-----------+ Der "Server" bietet folgende Dienste: - SAMBA-Fileserver - Druckerserver - Router mit firewall mit DSL-Anschluss - voll funktionierende Workstation, d.h. ° Mailclient ° http, ftp ° Staroffice ° DTP (Sannen, gPhoto, Drucken ...) Die Regelkette also mit Source-NAT (Masquerading), sieht wie folgt aus: + / \ / \ / \ +---------+ / \ | | +---------+ incoming / \ | FORWARD | | POST- | outgoing ---------->+ routing? +--->+ REGEL- +--+--+ REGEL +----------> \ / | | ^ | S-NAT | \ / +---------+ | +---------+ \ / | \ / | \ / | + | | | | | V | +-------+-------+ +--------+-------+ | | | | | INPUT - REGEL | | OUTPUT - REGEL | | | | | +-------+-------+ +--------+-------+ | ^ | | V | LOKAL LOKAL Zusammengefasst nun also im Detail: Da auf dem "Server" auch noch nebenbei gearbeitet werden können muss, müssen die bekannten Regeln beibehalten werden: INPUT-Regel : Es kommt ein Paket von ppp0 und das Paket wird an den "lokalen Rechner" weitergegeben. FORWARD-REGEL: Es kommt ein Paket und wird an die FORWARD-REGEL weitergereicht, da das Routing im Firewall-script eingeschaltet wurde. ( echo "1" > /proc/sys/net/ipv4/ip_forward ) OUTPUT-REGEL : Der Rechner verschickt selbst Pakete, die konform mit dieser Regel sein muss. POST-REGEL : Im Firewall-Script wird "Masquerading" mittels ( $IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE ) eingeschaltet; somit werden Pakete, die den Router via ppp0 verlassen maskiert, Die rückwärtige Richtung wird über das Kernel-Modul ip-conntrack automatisch Adressmäßig wieder umgeschrieben, so daß das Paket zum "verursachenden" Host zurückgeschickt wird. Zusätzliche muss für den SAMBA- und Printserver-Betrieb sichergestellt werden, daß die betreffenden Ports vom lokalen Netzwerk in Richtung Router/Server offen sind, aber von Richtung Internet aus, diese Port nicht erreichbar sind. Also, dann überleg' Dir mal, was Du haben willst ... ;-) Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Michael Nausch wrote:
Griasdebua!
Am Sonntag, 4. November 2001 13:53 schrieb Daniel Plies:
ich habe eine kurze Frage: Hat jemand eine genaue Anleitung zum Aufbau einer Firewall unter SuSE Linux 7.2 oder 7.3 ??
Na, wie kurz soll die Antwort den sein. Also die kürzeste Fassung würde bei mir auf Deine Frage lauten: " JA ICH", aber ich denke mal, das hilft DIr auch nicht recht viel weiter.
Also wenn Du etw folgende Konfiguration hast, dann kann ich Dir relativ schnell helfen, auch mit einem passenden Muster-Script!
Konfiguration in meinem SOHO:
| | | <----- Verbindung zum Internet | über DSL-Modem (!) zu | t-longline (flatrate) | +-----+-----+ | eth0 | | | +-----+ | eth1 +--------------+ Hub | | | +-+-+-+ | "Server" | | | +-----------+ | | | | +-----------+ | | | | | | | | | | | eth0 +----------------+ | | | | | "clientA" | | +-----------+ | | +-----------+ | | | | | | | | eth0 +------------------+ | | | "clientB" | +-----------+
Ich weiß nicht wie es bei euch in D ist, aber mein DSL-Modem hat einen RJ-45 Anschluß, also habe ich es gleich an den Hub angeschlossen und brauche somit auch nur eine NW-Karte im Server. Ich habe das Masquerading bzw. IP-Forwarding im Linux zwar noch nicht weggebracht, aber unter Win läuft es. Und ein Firewall müßte ich doch auch mit nur einer NW-Karte wegbringen, oder? PS: Ich habe gelesen, daß die SuSEfirefalls (1 - IP Chains bzw. 2 - IP Tables) nicht so gut sind und man besser eine eigene aufsetzen sollte. Stimmt das? (SuSEfirewall2 gibt es erst ab Version 7.3 oder?) Wo bekomme ich eine (wenn möglich deutsche) Beschreibung von IP Tables? Ich finde immer nur IP Chains und soweit ich das mitbekommen habe ist das die 'alte' Version und da ich mich sowieso mit keiner FW auskenne fange ich jetzt sicher nicht mit dem alten Zeugs an. -- mfg Martin aka Yosuke Tomoe ICQ: 104533537 HP: http://www.animeundmanga.de.vu Member of: Anime no Tomodachi, Animexx, NERV H³Q ML: Anime-ML (Animexx), Animeger-ML, NGE-ML, NERV_HH
Griasde Martin, Am Dienstag, 6. November 2001 07:41 schrieb Martin Neuditschko:
Ich weiß nicht wie es bei euch in D ist, aber mein DSL-Modem hat einen RJ-45 Anschluß, also habe ich es gleich an den Hub angeschlossen und brauche somit auch nur eine NW-Karte im Server.
Geht IMHO auch, _N_U_R_ ist dann eine firewall nicht mehr so einfach zu gestalten, bzw. fast unmöglich. Schließt Du den DSL-Modem direkt an den HUB an, so läuft auch IMHO der ganze intranet-Verkehr "sichtbar" an den DSL-Modem heran, oder?
Ich habe das Masquerading bzw. IP-Forwarding im Linux zwar noch nicht weggebracht, aber unter Win läuft es.
Was meinst Du denn mit weggebracht. Ich bin froh, daß nun Masquerading ordendlich läuft, schließlich möchte ich ja gar nicht, daß der Provider z.B. genau sieht, was hinter dem DSL-Modem genau passiert.
Und ein Firewall müßte ich doch auch mit nur einer NW-Karte wegbringen, oder?
Sorry, aber ich versteh' nicht ganz was Du mit wegbringen meinst.
PS: Ich habe gelesen, daß die SuSEfirefalls (1 - IP Chains bzw. 2 - IP Tables) nicht so gut sind und man besser eine eigene aufsetzen sollte. Stimmt das?
Kann ich so nicht bestätigen und glaube ich auch ehrlich nicht. Ich hab' mir selbst eine gebaut, da ich nur so so richtig verstanden hab', was iptables kann und was ein firewall bringt. Und außerdem hab' ich was gegen den ganzen vorkonfigurierten Kram, von dem ich nicht genau weiß, was es macht und was nicht. Da hätte ich ja gleich bei der Spielekonsole bleiben können, bei dem ich bei Level WIN98 aufgehört habe ... ;-))
Wo bekomme ich eine (wenn möglich deutsche) Beschreibung von IP Tables?
Aus dem folgenden Buch und zahlreichen internetseiten hab' ich mir mein (halb)Wissen angeeignet: http://www.susepress.de/de/katalog/3_934678_40_8/index.html
... und da ich mich sowieso mit keiner FW auskenne fange ich jetzt sicher nicht mit dem alten Zeugs an.
D'rum fang an, Dich mal z.B. an Hand des genannten Buches mit der Materie anzufreunden und bei Dir einen eignen firewall. Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
* Donnerstag, 08. November 2001 um 11:25 (+0100) schrieb Michael Nausch:
Am Dienstag, 6. November 2001 07:41 schrieb Martin Neuditschko:
Ich weiß nicht wie es bei euch in D ist, aber mein DSL-Modem hat einen RJ-45 Anschluß, also habe ich es gleich an den Hub angeschlossen
Geht IMHO auch, _N_U_R_ ist dann eine firewall nicht mehr so einfach zu gestalten, bzw. fast unmöglich.
Es ändert sich kaum etwas: "Internet" über ppp0 und "Intranet" über eth0.
Schließt Du den DSL-Modem direkt an den HUB an, so läuft auch IMHO der ganze intranet-Verkehr "sichtbar" an den DSL-Modem heran, oder?
An das ADSL-"Modem" ja, aber nicht weiter. Siehe auch mein Posting vom
2.11. im Thread "eine netzwerkkarte für lan und dsl ???"
( Message-ID: <20011102153038.A12922@kocom.akoenecke.de> ).
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Griasde! Am Donnerstag, 8. November 2001 15:00 schrieb Andreas Koenecke:
Es ändert sich kaum etwas: "Internet" über ppp0 und "Intranet" über eth0.
Na ja, wenn Du das sagst ... Ich hab' mir hier zwei NICs eingebaut, da ist mir bedeutend wohler dabei. cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-989810 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hi,
----- Original Message -----
From: "Andreas Koenecke"
* Donnerstag, 08. November 2001 um 11:25 (+0100) schrieb Michael Nausch:
Am Dienstag, 6. November 2001 07:41 schrieb Martin Neuditschko:
Ich weiß nicht wie es bei euch in D ist, aber mein DSL-Modem hat einen RJ-45 Anschluß, also habe ich es gleich an den Hub angeschlossen
Geht IMHO auch, _N_U_R_ ist dann eine firewall nicht mehr so einfach zu gestalten, bzw. fast unmöglich.
Es ändert sich kaum etwas: "Internet" über ppp0 und "Intranet" über eth0.
Schließt Du den DSL-Modem direkt an den HUB
Verwendest Du das Kabel der Telekom? Dann geht's nur, wenn Du das Kabel an den uplink-port des HUB's anschließt. Gruß Michael
participants (8)
-
Andreas Koenecke -
Daniel Brachmann -
Daniel Plies -
Martin Neuditschko -
Michael Lootz -
Michael Nausch -
Stefan Onken -
Yann Wissenbach