cane
26.07.04, 10:57
Hallo,
folgendes Szenario: WLAN und LAN im Unternehme durch einen Router (Firewall + VPN Garteway) getrennt.
ich habe zwei Gruppen WLAN-User:
Mitarbeiter unserer IT (Die IT-Mitarbeiter sollen sich per VPN (IPSEC) auf den Rechner connecten können, dieser löst die VPN Verbindung auf und gewährt Ihnen Zugriff auf das komplette LAN)
Gäste (Gäste können an ihren Notebooks den IPCop als Gateway eintragen und dieser soll nur Verbindungen per HTTP, HTTPS und FTP zum Proxyserver im LAN weiterleiten)
ich habe die folgenden Iptables Regeln gewählt:
# Connection-Tracking aktivieren + HTTP / HTTPS erlauben
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# IPSEC
iptables -A INPUT -i eth1 -p 50 -j ACCEPT
iptables -A INPUT -i eth1 -p 51 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p udp --dport 500 -j ACCEPT
Das sollte OK sein, da die VPN Verbindungen ja nur reinkommen, vom ipsec deamon aufgelöst weden und dann als OUTPUT gelten - sie müssen nicht in der FORWARD Chain auftauchen, richtig?
Die Forward Chain ist so eingeschränkt, dass nur HTTP und HTTPS durchkommen - sie müßte noch um ftp erweitert werden - wie mache ich das am besten stateful (es gibt ein mod dafür glaube ich)?
mfg
cane
folgendes Szenario: WLAN und LAN im Unternehme durch einen Router (Firewall + VPN Garteway) getrennt.
ich habe zwei Gruppen WLAN-User:
Mitarbeiter unserer IT (Die IT-Mitarbeiter sollen sich per VPN (IPSEC) auf den Rechner connecten können, dieser löst die VPN Verbindung auf und gewährt Ihnen Zugriff auf das komplette LAN)
Gäste (Gäste können an ihren Notebooks den IPCop als Gateway eintragen und dieser soll nur Verbindungen per HTTP, HTTPS und FTP zum Proxyserver im LAN weiterleiten)
ich habe die folgenden Iptables Regeln gewählt:
# Connection-Tracking aktivieren + HTTP / HTTPS erlauben
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# IPSEC
iptables -A INPUT -i eth1 -p 50 -j ACCEPT
iptables -A INPUT -i eth1 -p 51 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p udp --dport 500 -j ACCEPT
Das sollte OK sein, da die VPN Verbindungen ja nur reinkommen, vom ipsec deamon aufgelöst weden und dann als OUTPUT gelten - sie müssen nicht in der FORWARD Chain auftauchen, richtig?
Die Forward Chain ist so eingeschränkt, dass nur HTTP und HTTPS durchkommen - sie müßte noch um ftp erweitert werden - wie mache ich das am besten stateful (es gibt ein mod dafür glaube ich)?
mfg
cane