moin!

folgende aufgabe: ein netzwerk mit 10 arbeitsstationen, einem fileserver, einem mail-server und einer standleitung soll eine firewall bekommen, die auch gegen angriffe von innen absichern soll. wie sollte man das netzwerk konzipieren, damit die firewall gegen angriffe von innen und außen schützt?

mfg, chris

wat soll sie denn gegen Angriffe von innen absichern? die Server? alle Maschinen?

Stichwort: Iptables.

HOWTO (http://www.linuxforen.de/forums/showthread.php?t=82002&highlight=IPTABLES)

Stichwort ist DMZ

Internet <---> Firewall <--> Mail- und Fileserver <---> Firewall <---> Workstations

MFG
xmarvel

wat soll sie denn gegen Angriffe von innen absichern? die Server? alle Maschinen?

absichern soll sie die server, die workstations sind erstmal vernachlässigbar...


schon mal danke für die andern antworten, vor allem bzgl. der iptables. da werd ich wohl nicht drum herum kommen :-)

mfg, chris

grundsätzliche die am ehesten anzuratendende Möglichkeit: dual stage firewall wie von xmarvel skizziert. Maxime: kein - und wirklich kein - Paket darf durch zwei Firewalls gleichzeitig

ansonsten single firewall mit drittem Interface für DMZ (demilitarized zone), da kommen die Server rein. Aber wie oben erwähnt, zu bervorzugen ist die zweistufige FW.

EDIT: bzgl. iptables: reinlesen und machen ist das beste. Für Mäuseschubser ist fwbuilder auch interessant.

verschoben nach "sicherheit"...

EDIT: bzgl. iptables: reinlesen und machen ist das beste. Für Mäuseschubser ist fwbuilder auch interessant.

Die zu empfehlende Topologie wurde ja schon genannt. Einen netten Iptables-Generator stellt harry auf seiner Page http://harry.homelinux.org zur Verfügung (Cookies erlauben!). Das entstandene Script kann bei Bedarf weiter angepasst werden.

mfg
cane

Das Script scheint aber nicht mit DMZs umgehen zu können...

Stichwort ist DMZ

Internet <---> Firewall <--> Mail- und Fileserver <---> Firewall <---> Workstations

MFG
xmarvel

Das macht so imho nicht sehr viel Sinn. Das der Mailserver in der DMZ zu stehen hat ist klar, für ihn gilt auch ein viel höheres Kompromittierungsrisiko.
Beim Fileserver seh ich das anderes. Was bringt es diesen vor eine Firewall zu setzen, wenn diese zum nutzen der Dienste weit geöffnet werden muss? Desweitern besteht kein Schutz der wichtigen Daten, sollte der Mailserver gekapert worden sein.

Beim Fileserver seh ich das anderes.
Die Aufgabe war, daß auch dieser gegen intern geschützt wird, aber ...

Desweitern besteht kein Schutz der wichtigen Daten, sollte der Mailserver gekapert worden sein.
... in diesem Punkt hast Du vollkommen Recht. Deshalb wäre anzuraten mit dem zweistufigen Konzept zu fahren und die interne FW mit 3 Interfaces auszurüsten, um damit eine weitere (Pseudo-) DMZ zu schaffen, in die der Fileserver kommt.