Startseite

 Fotografie
 Asterisk
 Linux
 Projekte

 Homepages

 Andreas

Andreas Rehm
ICQ: 4782018

 Impressum

View Frames
   
Sie befinden sich hier  /  Linux / Firewall

INET Firewall

Internet Firewall Konfiguration unter SuSE



Diese Anleitung beschreibt eine Möglichkeit der Absicherung eines Internetgateways. Sie ist universell verwendbar, wenn man das Prinzip verstanden hat. Das Sicherste ist immer, wenn man keine Dienste anbietet, sprich man schaltet alles aus was man nicht braucht. Es wird von einem 192.168.0.x/24 Netzwerk ausgegangen.

libwrap Absicherung



Der einfachste Teil der Absicherung eines Rechners ist die Verwendung der von Unix/Linux bereits bereitgestellten Zugangskontrolle per libwrap. Damit kann man die lokalen Netzwerkdienste (vorausgesetzt die libwrap Library wird von dem jeweiligen Dienst auch verwendet) vor unerlaubtem Zugriff schützen, indem man die erlaubten und/oder die nicht erlaubten IP-Adressen in den Konfigurationsdateien einträgt. (siehe man-page host_access(5))

Als Beispiel:

/etc/networks
my-network.net 192.168.0.0

Stattdessen kann auch die Domainkonfiguration über DNS vorgenommen werden. Eine Anleitung zu DNS finden Sie auch auf dieser Homepage.

/etc/hosts.allow
ALL: LOCAL .my-network.net

Für NFS-Server sollte man noch diesen Eintrag ergänzen (für das 192.168.x.x Netz):
portmap: 192.168.

/etc/hosts.deny
ALL: ALL

Damit sind die meisten lokalen Dienste vor dem Internet geschützt.

Squid-Proxy Absicherung



Der Squid Proxy hat seine eigenen ACL's (Access Control Lists), die entsprechend gesetzt werden müssen.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.0.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access deny all

Firewall Absicherung



Der SuSEfirewall(2) bietet eine recht gute und simple Lösung zur Konfiguration eines Firewalls. Die einfachste Einstellungsmöglichkeit, die die privilegierten Ports und die Dienste Squid, HylaFax und MySQL gegen das Internet absichert, lokal aber alles durchlässt ist diese:

FW_DEV_EXT="ippp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="192.168.0.0/16"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="1024:3127 3129:3305 3307:4556 4558 4460:65535"
FW_SERVICES_EXT_UDP="1024:3127 3129:3305 3307:4556 4558 4460:65535"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="no"

Damit hat man eine recht gut abgesicherten Firewall und eine sichere Grundkonfiguration für Gateways.


Seite Drucken Print Page

Last modified 20140402002838 - ARWebengine 0.91 - AntiHacker Edition