Hi,

ich habe es grade hinbekommen, dass das der gesamte Datenverkehr unserer Firma über unseren Linux Router läuft (Suse 7.3). Jetzt will ich das der Router auch eine Firewall funktion übernimmt und arbeite mich grade in Iptables rein.(Bisher lief bei uns nur W2k,NT, ist mein erster Linux Rechner!)

Jetzt komme ich zu dem Punkt wo ich die offenen Ports bestimmen muß.

Also auf der einen Seite sitzen die ganzen Clients und unser Wins und Dhcp Server und auf der anderen Seite(DMZ) sitzt unser NT4 Server mit PrimärerDomänenController, DNS, Proxy(Port:80) ein MS Exchange Server und ein Terminal Server.

Welche Ports muß ich jetzt freigeben?

Ich fange mal an:
42 TCP WINS
53 TCP DNS
53 UDP DNS Name Resolution
67 UDP DHCP Lease (Bootp)
68 UDP DHCP Lease
80 TCP Proxy Server
135 TCP Location Service (RPC, Wins Manager, Dhcp Manager)
137 UDP NetBios Name Service
137 TCP Wins Registration
138 UDP Netbios Datagram Service
139 TCP Netbios Session Service
3389 RDP Terminal Services

In einem Exchangebuch habe ich gelesen, dass ich
135 TCP Exchange Client /server Communiction
brauche.

Jetzt meine Frage, reicht diese Liste, oder ist da irgendetwas zu viel?
Besonders interessiert es mich für IExplorer und Exchange.

Alle Clients die ins Internet wollen greifen über Port 80 auf den Proxy Server zu (http /htpps /ftp). Muß ich dafür was anderes als Port 80 TCP freigeben?

So wie ich es verstanden habe arbeitet dein Linux-Server nur als Router zwischen deine DMZ und deinem Internet Netz mit Windoof clients.
Deine Liste ist doch ganz O.K. Ich kenne nur IPchains vorgänger von Iptables.

Beispiel für WEB über Port 80:
192.168.20.0 dein Internets Netz
192.168.2.100 dein Proxy Server

ipchains -A input -i eth0 -s 192.168.20.0/24 1024: -d 192.168.2.100 80 -p tcp -j ACCEPT

Lasse jede Packete auf Interface eth0 mit der Quelladresse 192.168.x.0/24(komplett LAN) von Port grösser 1024 auf 192.168.x.100(Proxy-Server) Port 80 Protokoll TCP durch.

unter IPTables vielleicht einfacher.
Beachte nur das du am Anfang ALLES Sperrst und dann nur die Ports öffnest die du brauchst.
Du fragst dich weswegen nehmen wir an du übersiest was dann kommt bei dieser Variante kein Verbindungsaufbau zustande.
Alle Pachete werden geblockt die nicht explizit freigegeben sind.

P.S. Kannst du mir gute Adressen für IPTables zukommen lassen, werde bald auf neueren Kernel umsteigen und dann auch iptables verwenden.

Frohe Weinachten

Diese "guten" Adressen für IPtables suche ich auch. Das meiste gibt es immer noch für IPchains. Für Iptables habe ich bisher auch noch nichts wirklich gutes gefunden!

Ich will mir jetzt aber Knetfilter installieren, ist eine GUI für IPtables. Hoffe damit wird das ein wenig einfacher.

Aber Danke für den Tip für den Proxy.

Beim Exchange Server bekomme ich wahrscheinlich schwierigkeiten. So wie es aussieht muß ich bei jedem Client einen Registry eintrag machen um zwei feste Verbindunsports zu bestimmen, die defaultmäßig per Zufall auf einen Port >1024 verteilt werden.

Ich habe aber noch eine Frage:

Da wir hier ein kleines Netz haben und allen Mitarbeitern "doch ein wenig" vertraut wird, wäre es glaube ich das einfachste, wenn ich aus dem Internen Netz erlaube auf alle Ports von unserem Server (Proxy,Exchange,DNS,etc.) zuzugreifen. Dann ist doch praktisch nur keine Sicherheit vom Internen Lan zum Server, aber aus dem Internet und aus dem Lan ins Internet habe ich dann doch die Sicherheit, die ich per Firewall konfiguriert habe. Oder habe ich dadurch ein zu großes Sicherheitsloch?

Wie würde der Iptablesbefehl dafür aussehen?