PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wie wlan in der dmz mit iptables absichern - aber wie?


meinereinerseiner
18.11.03, 11:54
hi,

ich habe bei mir zu hause folgendes gebastelt:



alte Konfiguration:
-------------------

internet
^
|
0.0.0.0
|
---------------
inet(ppp0) |
local(eth0) |
---------------
|
192.68.100.0/24
|
local LAN

neue Konfiguration:
-------------------

internet
^
|
0.0.0.0
| 192.168.254.2(ISDN DIALIN)
-------------- |
inet(ppp0) | |
dmz (et1) |----- 192.168.254.0/24 ---> wlan router(nat) --- 192.168.252.0/24->
local(eth0) |
--------------
|
192.68.100.0/24
|
local LAN



bislang ist der verkehr auf der firewall mit dem monmotha firewall script
geregelt und gesichert. Jetzt ist noch eine dmz dazugekommen in der sich
ein wlan router und ein isdn router für den remote zugang befindet.

nun will ich die dmz noch absichern, so das über den isdn router nur ein
ssh auf die firewall geht und die wlan clients nur zugriff auf den squid
und openvpn auf dem gateway bekommen. alles weiter sollte geblockt werden.

das ganze scheint für das monmotha script zu viel zu sein, so das ich das
jetzt noch mit zusätzlichen rules abdecken muss, aber nicht weis wie.

könnte mir da jemand bitte weiterhelfen?

danke
der tom
Sonny
18.11.03, 11:58
ganz netter Einsteig

http://www.dr-lotz.de/iptables.html
meinereinerseiner
18.11.03, 12:47
also diese variante geht irgendwie nicht:



iptables="/sbin/iptables"

# syslog eingehen erlauben
$iptables -A INPUT -p UDP -i eth1 --dport 514 -j ACCEPT
# dns eingehen erlauben
$iptables -A INPUT -p TCP -i eth1 --dport 53 -j ACCEPT
# ssh eingehend erlauben
$iptables -A INPUT -p TCP -i eth1 --dport 22 -j ACCEPT
# squid eingehend erlauben
$iptables -A INPUT -p TCP -i eth1 --dport 3128 -j ACCEPT
# telnet ausgehend erlauben
$iptables -A OUTPUT -p TCP -o eth1 --dport 23 -j ACCEPT
# openvpn in beide richtungen
$iptables -A OUTPUT -p UDP -o eth1 --sport 5000 --dport 5000 -j ACCEPT
$iptables -A INPUT -p UDP -i eth1 --dport 5000 --sport 5000 -j ACCEPT

# der rest wird verboten
$iptables -A INPUT -p TCP -i eth1 --syn -j DROP



:confused:

der tom
Sonny
18.11.03, 15:06
1 - funktionert es bei dir ohne iptables?
meinereinerseiner
18.11.03, 15:34
ähmm ja, insofern da beim jetztigen firewallscript, die dmz genauso behandelt
wird wie das locale lan.

wenn ich aus diesem script die dmz parameter rausnehme und meine ausgedachten
regeln hinterher schiebe, dann geht das nicht.

hier (http://monmotha.mplug.org/~monmotha/firewall/firewall/2.3/rc.firewall-2.3.8-pre9) mal der link zu dem script

und hier mal meine parameter mit denen es geht, aber es eben keine
reglementierungen gibt:


TCP_ALLOW="22 80 443 993"
UDP_ALLOW="5000 5001"
INET_IFACE="ppp0"
LAN_IFACE="eth0 eth1"
INTERNAL_LAN="192.168.100.0/24 192.168.254.0/24 192.168.253.0/24"
MASQ_LAN="192.168.100.0/24 192.168.254.0/24 192.168.253.0/24"
#LAN_IFACE="eth0"
#INTERNAL_LAN="192.168.100.0/24"
#MASQ_LAN="192.168.100.0/24"
SNAT_LAN=""
DROP="LDROP"
DENY_ALL=""
DENY_HOSTWISE_TCP=""
DENY_HOSTWISE_UDP=""
BLACKHOLE=""
BLACKHOLE_DROP="DROP"
ALLOW_HOSTWISE_TCP=""
ALLOW_HOSTWISE_UDP=""
TCP_FW=""
UDP_FW=""
MANGLE_TOS_OPTIMIZE="TRUE"
DHCP_SERVER="TRUE"
BAD_ICMP="5 9 10 15 16 17 18"
ENABLE="Y"


der tom
meinereinerseiner
20.11.03, 11:09
hat keiner einen tip?

der tom