MartinK
19.11.01, 23:15
Ich hab auf meinem Linux Server die SuSEfirewall unter SuSE Linux 7.1 installiert. Der Server hat 3 Netzwerkkarten:
eth0: Router Telekom
eth1: internes LAN 192.168.0.0
eth2: DMZ, in dem Mailserver hängt mit fester IP Adresse
Mit meinen derzeitigen Einstellungen ist es vom DMZ aus möglich, auf das interne LAN zuzugreifen.
Wie kann ich verhindern, daß vom DMZ auf das interne Netz zugegriffen werden kann?
Ich habe zur Zeit folgende forward-Regeln definiert:
123.123.123.123 sei hier der Name des DMZ Netzes mit 8 IPs.
FW_FORWARD_TCP="0/0,123.123.123.123/255.255.255.248,ftp 0/0,123.123.123.123/255.255.255.248,ftp-data 0/0,123.123.123.123/255.255.255.248,ssh 0/0,123.123.123.123/255.255.255.248,smtp 0/0,123.123.123.123/255.255.255.248,domain 0/0,123.123.123.123/255.255.255.248,http 0/0,123.123.123.123/255.255.255.248,www 0/0,123.123.123.123/255.255.255.248,pop3 0/0,123.123.123.123/255.255.255.248,imap 0/0,123.123.123.123/255.255.255.248,https 0/0,123.123.123.123/255.255.255.248,1999 0/0,123.123.123.123/255.255.255.248,8080 0/0,123.123.123.123/255.255.255.248,20123 123.123.123.123/255.255.255.248,0/0,ftp 123.123.123.123/255.255.255.248,0/0,ftp-data 123.123.123.123/255.255.255.248,0/0,ssh 123.123.123.123/255.255.255.248,0/0,smtp 123.123.123.123/255.255.255.248,0/0,domain 123.123.123.123/255.255.255.248,0/0,http 123.123.123.123/255.255.255.248,0/0,www 123.123.123.123/255.255.255.248,0/0,pop3 123.123.123.123/255.255.255.248,0/0,imap 123.123.123.123/255.255.255.248,0/0,https 123.123.123.123/255.255.255.248,0/0,1999 123.123.123.123/255.255.255.248,0/0,8080 123.123.123.123/255.255.255.248,0/0,20123"
Das Problem ist wohl, daß durch 0/0 auf alle Netze, also auch auf 192.168.0.0 zugegriffen werden kann. Ist es auch möglich, alles außer ein bestimmtes Netz zuzulassen? Wie schreibe ich z.B.
0/0 außer 192.168.0.0 ?
Viele Grüße
Martin
eth0: Router Telekom
eth1: internes LAN 192.168.0.0
eth2: DMZ, in dem Mailserver hängt mit fester IP Adresse
Mit meinen derzeitigen Einstellungen ist es vom DMZ aus möglich, auf das interne LAN zuzugreifen.
Wie kann ich verhindern, daß vom DMZ auf das interne Netz zugegriffen werden kann?
Ich habe zur Zeit folgende forward-Regeln definiert:
123.123.123.123 sei hier der Name des DMZ Netzes mit 8 IPs.
FW_FORWARD_TCP="0/0,123.123.123.123/255.255.255.248,ftp 0/0,123.123.123.123/255.255.255.248,ftp-data 0/0,123.123.123.123/255.255.255.248,ssh 0/0,123.123.123.123/255.255.255.248,smtp 0/0,123.123.123.123/255.255.255.248,domain 0/0,123.123.123.123/255.255.255.248,http 0/0,123.123.123.123/255.255.255.248,www 0/0,123.123.123.123/255.255.255.248,pop3 0/0,123.123.123.123/255.255.255.248,imap 0/0,123.123.123.123/255.255.255.248,https 0/0,123.123.123.123/255.255.255.248,1999 0/0,123.123.123.123/255.255.255.248,8080 0/0,123.123.123.123/255.255.255.248,20123 123.123.123.123/255.255.255.248,0/0,ftp 123.123.123.123/255.255.255.248,0/0,ftp-data 123.123.123.123/255.255.255.248,0/0,ssh 123.123.123.123/255.255.255.248,0/0,smtp 123.123.123.123/255.255.255.248,0/0,domain 123.123.123.123/255.255.255.248,0/0,http 123.123.123.123/255.255.255.248,0/0,www 123.123.123.123/255.255.255.248,0/0,pop3 123.123.123.123/255.255.255.248,0/0,imap 123.123.123.123/255.255.255.248,0/0,https 123.123.123.123/255.255.255.248,0/0,1999 123.123.123.123/255.255.255.248,0/0,8080 123.123.123.123/255.255.255.248,0/0,20123"
Das Problem ist wohl, daß durch 0/0 auf alle Netze, also auch auf 192.168.0.0 zugegriffen werden kann. Ist es auch möglich, alles außer ein bestimmtes Netz zuzulassen? Wie schreibe ich z.B.
0/0 außer 192.168.0.0 ?
Viele Grüße
Martin