Am Montag, 7. Oktober 2002 20:20 schrieb Al Bogner:
Nachdem ich nun verschiedene Ideen gehört habe, wie man für einen "Small Office"-Bereich eine Firewall aufbaut und sehr unterschiedliches gehört habe, möchte ich das gerne hier diskutieren.
Och, es kommt letztendlich in aller Linie mal darauf an, was Du unter einer firewall verstehst. Bei mir hier, steht der Begriff firewall, vor allem für eine entsprechende Politik, sprich, was erlaubt ist und was nicht. Zur Unterstützung gibt es dann mehrere Module, darunter auch einen, auf iptables basierenden Paketfilter, den Du wahrscheinlich als "firewall" suchst, oder?
Vorhanden sind: 2 Clients 1 Hauptserver (Fileserver, leafnode, squid,samba) 1 Firewall-Rechner (Router, Firewall) Netzwerkkarten nach Bedarf ISDN-Zugang
Klingt doch schon mal gar nicht so abschreckend.
Zugriff aus dem Internet auf den Hauptserver soll per ssh möglich sein. Alle anderen externen Dienste werden nicht benötigt. Auf dem Hauptserver soll squid, leafnode und samba laufen. Pop3 und smtp wird vom Provider zur Verfügung gestellt.
Alles per iptables-Regelwerk durchaus lösbar - und das ohne größere Aufwendungen.
Wie sollen nun die Rechner miteinander verbunden werden bzw. wieviele Netzwerkkarten sollen in welchen Rechner?
Tja, wie sieht denn sonst Deine Netzwerktopologie aus? Also wenn Du etw folgende Konfiguration hast, dann kann ich Dir relativ schnell helfen, auch mit einem passenden Muster-Script. Konfiguration in meinem SOHO: | | | <----- Verbindung zum Internet | über DSL-Modem (!) zu | t-longline (flatrate) | +-----+-----+ | eth0 | | | +-----+ | eth1 +--------------+ Hub | | | +-+-+-+ | "Server" | | | +-----------+ | | | | +-----------+ | | | | | | | | | | | eth0 +----------------+ | | | | | "clientA" | | +-----------+ | | +-----------+ | | | | | | | | eth0 +------------------+ | | | "clientB" | +-----------+ Der "Server" bietet folgende Dienste: - SAMBA-Fileserver - Scannserver (sane) - Druckerserver (cups) - Router mit firewall mit DSL-Anschluss - voll funktionierende Workstation, d.h. ° Mailclient ° http, ftp ° open-office ° DTP (Sannen, gPhoto, Drucken ...) Die Regelkette also mit Source-NAT (Masquerading), sieht wie folgt aus: + / \ / \ / \ +---------+ / \ | | +---------+ incoming / \ | FORWARD | | POST- | outgoing ---------->+ routing? +--->+ REGEL- +--+--+ REGEL +----------> \ / | | ^ | S-NAT | \ / +---------+ | +---------+ \ / | \ / | \ / | + | | | | | V | +-------+-------+ +--------+-------+ | | | | | INPUT - REGEL | | OUTPUT - REGEL | | | | | +-------+-------+ +--------+-------+ | ^ | | V | LOKAL LOKAL Zusammengefasst nun also im Detail: Da auf dem "Server" auch noch nebenbei gearbeitet werden können muss, müssen die bekannten Regeln beibehalten werden: INPUT-Regel : Es kommt ein Paket von ppp0 und das Paket wird an den "lokalen Rechner" weitergegeben. FORWARD-REGEL: Es kommt ein Paket und wird an die FORWARD-REGEL weitergereicht, da das Routing im Firewall-script eingeschaltet wurde. ( echo "1" > /proc/sys/net/ipv4/ip_forward ) OUTPUT-REGEL : Der Rechner verschickt selbst Pakete, die konform mit dieser Regel sein muss. POST-REGEL : Im Firewall-Script wird "Masquerading" mittels ( $IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE ) eingeschaltet; somit werden Pakete, die den Router via ppp0 verlassen maskiert, Die rückwärtige Richtung wird über das Kernel-Modul ip-conntrack automatisch Adressmäßig wieder umgeschrieben, so daß das Paket zum "verursachenden" Host zurückgeschickt wird. Zusätzliche muss für den SAMBA- und Printserver-Betrieb sichergestellt werden, daß die betreffenden Ports vom lokalen Netzwerk in Richtung Router/Server offen sind, aber von Richtung Internet aus, diese Port nicht erreichbar sind. Falls noch weitere Infpormationen gewünscht werden, einfach melden! :-) Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org