Hallo zusammen,

ich habe eine Frage bezüglich Paketfilter-Firewalls, hat zwar nicht zwangsläufig was mit Linux zu tun, aber vielleicht könnt ihr mir trotzdem helfen. Wie man Filterregeln definiert, ist mit klar, unsicher bin ich mir dabei, welche Ports ich offenlassen muss. Die Rechner (alles WinNTs), die hinter der Firewall hängen, müssen eigentlich nur im Internet surfen (http und ftp) und Emails abholen/schicken (pop3/smtp) können. Am liebsten würde ich nun alle Ports sperren, ausser denen, die für die oben genannten Aktivitäten notwendig sind.

Vielen Dank für eure Hilfe...Ulf

Wenn niemand von aussen auf dein Netz zugreifen können soll, brauchst du keinen FTP, da der nur dazu benötigt wird, wenn du Daten für andere bereithältst (das gleiche gilt ebenfalls für den SSH-Port und den Apache-Webserver). Im Endeffekt benötigtst du nur den Nameserver (DNS). Beim Sendmail (smtp) ist Vorsicht geboten, da dieser Dienst sehr unsicher ist. Wenn er unbedingt benötig wird, sollte er aber nur in Richtung Internet freigeschalten werden.
Interessantes dazu findest du auch in der LinuxUser (Link auf die Homepage (http://www.linuxuser.de) Ausgabe 3 und 4/2001.

Erst einmal vielen Dank für deine schnelle Antwort. Heißt das, dass ich nur Port 42 (für nameserver), Port 25 (für smtp in eine Richtung) und Port 110 (für pop3) offenhalten muss und den Rest schließen kann??? Über welchen Port kommen denn dann die http-Informationen???

Hi ...

Es kommt ja drauf an was du machen moechtest. Du solltest dir im klaren sein
welche Dienste du anbieten moechtest.

Guter Tip ist noch: http://www.little-idiot.com

ciaoi ...

krusty

Der http-Port ist nur dafür da, wenn du selbst Seiten über deinen Rechner im Internet zur Verfügung (Apache Web-Server) stellst. Wenn du surfen willst, was ich doch stark annehme, dann musst du deine IP-Adresse von deinem Rechner und den Port (z.B. 1024) freigeben. Dies ist aber eine heikle Sache, wenn du dynamische IP verwendest. Schau mal beim Magazin Linux User (http://www.linuxuser.de) 04/2001 nach, da ist es detailiert beschrieben.

TOTALER QUATSCH !!!

Frage: Auf welchen Port greife ich denn als HTTP-Client zu ??? (80)

ciaoi ...

krusty

Hi!

wenn du nur vom LAN auf deinen Server zugreifen musst uns so ist es ja, wenn ich dich richtig verstanden habe. Dann kannst du nach außen hin alle Ports zu machen, oder im stealth Modus laufen lassen.

So läuft's bei mir zumindestens, und geht auch ohne Probleme. Wenn du dir dazu keine Arbeit machen willst, benutze sowas wie die PM-Firewall.

hoffe es hilft CU Till

Hy, zum surfen muß port 80 nicht offen sein ! mit der Regel
/sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT
kann bei iptables es so eingerichtet werden das nur angeforderte Verbindungen durch kommen ob das bei ipchains geht weiss ich nicht.
AB

so isses... von aussen kannst du alle ports sperren und einfach nur verbindungen ohne gesetztes syn bit (=verbindungsaufbau) zulassen
(parameter ! -y bei ipchains)

gruss

Bernd