Hallo zusammen,

also, ich habe hier einen SuSE 7.3 Rechner, der mit einer ISDN Karte bestückt ein Gateway ins Internet für das dahinterliegende Netz betrieben werden soll! Das funktioniert auch einwandfrei! Nun meine Frage: Wie kann ich anstellen, damit die User auf ihren Clients nur den Port 110, 25, 80 und 53 benutzen dürfen?!? Und wie kann ich es einstellen, daß User nur auf ein paar bestimmte Internetseiten dürfen?!?

Gruß

Ulli

Hi Ulli,

das kannst du ganz einfach mit einer Firewall realisieren die nach innen zeigt. Ich gehe mal davon aus das du IPTables installiert hast.

# EIGENE GRUPPE FÜR BLOCKS ANLEGEN
iptables -N BLOCK
iptables -I INPUT -j BLOCK
iptables -I FORWARD -j BLOCK

# PORT 80 FREIGEBEN
iptables -A BLOCK -p tcp --dport 80 -s 192.168.0.2 -j ACCEPT
# PORT 25 FREIGEBEN
iptables -A BLOCK -p tcp --dport 25 -s 192.168.0.2 -j ACCEPT

usw.... gff. für udp noch das selbe

# REST SPERREN
iptables -A BLOCK -p all -s 192.168.0.2 -j REJECT


damit sollte das ganze laufen ;)

hi,
ich gebe ja (ungern) zu, dass mir leider ein rätzel ist, was ipchains und iptables unterscheidet, aber vieelicht liest dies ja wer, der/die mir den unterschied (?) erklären kann?

und: *hier* gibts einen rechner mit redhat 4.2 kernel 2.0 (derzeitige firewall, die abgelöst wewrden soll) und n suse 7.3 rechner, der als firewall konfiguriert werden soll - macht es da dann sinn, iptables zu installieren?

fragende grüße

>was ipchains undi ptables unterscheidet,
ipchains ist für den Kernel 2.2 und iptables für Kernel 2.4.
bei iptables sind noch ein paar nützliche Dinge dazugekommen, aber ipchains ist auch ganz nett.

>und: *hier* gibts einen rechner mit redhat 4.2 kernel 2.0 (derzeitige
>firewall, die abgelöst wewrden soll) und n suse 7.3 rechner, der als
>firewall konfiguriert werden soll - macht es da dann sinn, iptables zu installieren?
cool, auf dem ist ja noch ipfwadm drauf :)
Sicher macht es Sinn noch iptables zu verwenden falls du einen sehr stabilen 2.2er Kernel haben willst.

Grüsse, Stefan

[QUOTE]Original geschrieben von geronet
[B]>was ipchains undi ptables unterscheidet,
ipchains ist für den Kernel 2.2 und iptables für Kernel 2.4.
bei iptables sind noch ein paar nützliche Dinge dazugekommen, aber ipchains ist auch ganz nett.

hm - aba der hiesige (redhat)kernel ist ja ein 2.0.36 kernel - bedeutet das, dass ich mich erst mal drum kümmern darf, den zu aktualisieren??
(übung macht die meisterin und mensch wächst mit seinen/ihren herausforderungen, ich weiss:/)...

>und: *hier* gibts einen rechner mit redhat 4.2 kernel 2.0 (derzeitige
>firewall, die abgelöst werden soll) und n suse 7.3 rechner, der als
>firewall konfiguriert werden soll - macht es da dann sinn, iptables zu installieren?
cool, auf dem ist ja noch ipfwadm drauf :)

tja - was immer *das* (ipfwadm) auch sei... - bei adm würde ich mal auf ein admin-tool tippen, ist der rest dann ein(e) ip-forward(administration) oder so?

Sicher macht es Sinn noch iptables zu verwenden falls du einen sehr stabilen 2.2er Kernel haben willst.

was dann bedeutet, dass ich meinem suse einen "alten" (2.2er) kernel verpassen soll(te)? nee, oder? aber was dann? (seufz - es ist schwer, eine anfängerin zu sein;/ )

gruß

in der vorletzten ct' gab es einen guten einführenden artikel dazu, vielleicht kommst du da ja irgendwie ran.

Ausserdem haben die versprochen, dass sie bald(?) einen artikel über eine iptables-beispielkonfiguration schreiben.

grüße,

matthias

>tja - was immer *das* (ipfwadm) auch sei... - bei adm würde ich mal auf
>ein admin-tool tippen, ist der rest dann ein(e) ip-forward(administration) oder so?
So in dem Sinne, ipfwadm (ip-firewall-admin) ist einfach das gleiche wie ipchains und iptables, nur halt für den 2.0.x Kernel...

>Sicher macht es Sinn noch iptables zu verwenden falls du einen sehr >stabilen 2.2er Kernel haben willst.
>was dann bedeutet, dass ich meinem suse einen "alten" (2.2er) kernel >verpassen soll(te)? nee, oder? aber was dann? (seufz - es ist schwer, >eine anfängerin zu sein;/ )

Ähh hab mich versprochen, soll heissen:
>Sicher macht es Sinn noch ipchains zu verwenden falls du einen >sehr stabilen 2.2er Kernel haben willst.
Ja solltest du schon machen ist auf jeden fall das beste, da es für ipchains Unmengen an Doku gibt.

Grüsse, Stefan

hi vero,

weiß nicht genau, ob es mit der privaten nachricht geklappt hat, ich schreib's einfach noch mal hier rein:

den genauen namen des ct' artikels wusste ich auch nicht mehr, hab sie hier auch nicht vorliegen.

unter www.heise.de gibt's ne tolle suchfunktion ;)

habs schon mal für dich erledigt:

----------------------------------
1. Mixter, Oliver Diedrich (odi)
Feiner filtern
Neue Firewall-Möglichkeiten in Linux 2.4
Praxis, IP Tables, iptables, Netfilter, Firewall, IP Tables, Linux, stateful inspection
c't 26/01, Seite 230
----------------------------------
Viel Spass,

Matthias

hallo stefan,
Original geschrieben von geronet
ipfwadm (ip-firewall-admin) ist einfach das gleiche wie ipchains und iptables, nur halt für den 2.0.x Kernel...

der ja auf dem einen rechner (nämlich dem mit der derzeit aktiven firewall) noch existiert...


>Sicher macht es Sinn noch iptables zu verwenden falls du einen sehr >stabilen 2.2er Kernel haben willst.
>was dann bedeutet, dass ich meinem suse einen "alten" (2.2er) kernel >verpassen soll(te)? nee, oder? aber was dann? (seufz - es ist schwer, >eine anfängerin zu sein;/ )

Ähh hab mich versprochen, soll heissen:
>Sicher macht es Sinn noch ipchains zu verwenden falls du einen >sehr stabilen 2.2er Kernel haben willst.


heißt dann die leicht veränderte frage, dass ich den redhatserver-kernel auf 2.2.x.x auktualisieren sollte? sonst kriege ich doch vermutlich mit dem ein problem, oder? (mir ist leider unklar, ob das zusammenspiel mit dem jetzigen redhat, der da zukünftig (ohne firewall-funktion) weiter laufen soll und dem "neuen" suse - der die firewallfunktion (und nur die) bekommen/übernehmen soll - einfach klaglos mit ipchains zu realiseren ist oder ob ich dann doch das adm-tool benutzen muss, damit "alle" miteinander "reden" können... (ich habe nämlich zu wenig anhnung von dem redhat, um sicher zu beurteilen, was da noch so alles drauf läuft...)


Ja solltest du schon machen ist auf jeden fall das beste, da es für ipchains Unmengen an Doku gibt.

tja - wenn ich nur schon so weit wäre, mich damit befassen zu dürfen - seufz - derzeit bin ich vor wie nach dabei, dem rechner zu "erklären", dass er ne netzwerkkarte hat und dass er die gefälligst;) erkennen solle:(... (aber das ist ein anderes thema - im übertragenen wie im tatsächlichen sinne;)) - ... 'meldungen in console log'...)


[/B]
gruß
vero07

wenn ich den oben genannten ct' artikel richtig überflogen habe ist iptables abwärtskompatibel zu ipchains.

d.h. du kannst ganz normal suse linux mit dem neuen kernel installieren und trotzdem noch die ipchains befehle verwenden. evtl. sogar die vom alten router übernehmen.

nur mischen der iptables und ipchains befehle soll nicht gehen.