Hallo,

ich beabsichtige den Aufbau einer Firewall. Zusätzlich hätte ich noch gerne die Dienste eines Proxy's. Ist es ein Risiko dies auf einer Maschiene zu realisieren?

Pixel

Ich sage, für Privat ist das auf alle fälle ausreichend! Sogar unser Firmennetz ist durch SuSE Firewall und Squid als Proxy geschützt. Es gab noch nie Ärger! Wenn du das so machst, ist das kein Problem. Kleiner Tipp ... kein X und kein Compiler ... das sind kleinere Sicherheitsrisiken ... und ansonsten natürlich alle Dienste aus. Dann ist das ganze sicher!

MfG Werner

Danke. Das Projekt ist für unser Firmen Netz welches bisher einzig und allein mittels NAT geschützt war. Mein Chef, welcher hier auch der Administrator ist hatte bisher auf Novell gesetzt :( Ich bin nun dabei ihn davon zu überzeugen das Tux in unseren Keller einziehen muss :D und denke das es so auf jeden Fall ein Sicherheitszugewinn ist. Wenn alles zufriedenstellend läuft kann ich ja entsprechend erweitern und den Proxy auslagern.

Ich führe mir gerade das SuSE Firewall-Handbuch zu gemüte. Kennt sich jemand gut mit iptables aus? Falls Fragen auftauchen :rolleyes:

also, wenn du das suse firewall buch hast (kann ich nur empfehlen), dann solltest du nach dem lesen eigendlich genügend wissen haben um so eine "niedliche" firewall aufsetzen zu können.

wichtig ist, das du die SYN,ACK,FIN flags unbedingt mit in deine chains reinnimmst. die erhöhen wesentlich die Sicherheit.

kannst ja im buch nachlesen. und auch mal testen.

zum bsp. machst mal ne chain, wo du den port 80 freigibst (ohne !--syn) und dann mit nmap -O -sF ip und dann kuckst du dir mal den difficult wert an. und dann nutzt du mal die !-- syn option und du wirst sehen, das sich dieser wert wesentlich erhöht.

und fragen, kannst du ja immerwieder in diesem forum fragen.

cu M.alburg

kommt drauf was für ne firewall ;-)
XsecS sagen nur firewall und nix andres.
aber wenn du ipchains einsetzten willst, wofür dann den proxy, oder andersrum, wofür ipchains, wenn du proxy hast?
du routest nicht, und ansonsten keine dienste, wie solls da weiter gehen?

oder willst du mehr als nur einen proxy haben? was genau soll die firewall erlauben und verhindern?

cu/2 iae

Der Firewall-Rechner soll das lokale sicher Netz an das öffentliche (unsicher) Netz anbinden. iptables ist ein reiner Paketfilter, er kann nicht vor unsicheren Inhalten schützen. Die Clients aus dem lokalen Netz sollen nicht direkt über die Firewall ins Web gelangen, sondern über den Proxy. In bisher allen Fachbüchern die ich zu diesem Thema gelesen habe wir dieses Vorgehen propagiert. Ich möchte gerne wissen ob sich das aufsetzen dieser beiden, getrennt zu betrachtenden Sicherheitsstufen, negativ auf deren Ergebnis auswirkt?