Ich habe zurzeit einen funktionierenden Router auf Basis der Masquerading Funktion der SuSE Firewall 2. Aber ich höre immer mehr von den IPTABLES und dass diese besser seien als die SuSE Firewall 2. Ist es denn besser und sicherer den Router auf Basis der IPTABLES einzurichten oder mit der Firewall 2 ? Oder gibt es da keine Unterschiede

?????

ich denke du blickst da nicht ganz durch. die firewall2 von suse basiert auf iptables, die frage was von beiden besser sei, ist daher hinfällig.

ipfwadm für kernel 2.0
ipchains für kernel 2.2
iptables für kernel 2.4

die susefirewall genauso wie andere komerzielle linux-firewalls (software-firewalls!) basieren entweder auf ipchains oder iptables.....ipfwadm ist zu alt; denke nicht, dass es noch verwendet wird.

ciao

Nachtrag: sorry hab vergessen auf deine frage zu antworten.
susefirewall2 ist gut, aber auf ein breites feld von anwendern ausgelegt. daher muss sie viele ports für ausgehende verbindungen bereitstellen.
neben http, https, ftp, smtp, pop.......best. ports für irc, etc.
wenn du mit deinem paketfilter zufrieden bist, dann lass ihn so. nur wenn du dich wirklich auskennst, bzw. mit dem thema näher befassen willst, dann schreib deine eigenen regeln.
grundsatz: verwirf alls (policy drop/deny) und füge regeln für ports die DU benötigst hinzu.

Wenn ich das richtig verstehe erstellt die firewall 2 dann ein paar Standard Paketfilterregeln in den IPTABLES. Ist das richtig so ? Wenn ja, könnte ich dann diese Regeln nachträglich noch erweitern oder verändern ?

......mit hilfe von iptables.....nicht in
theoretisch kannst du sowohl erweitern als auch verändern, allerdings ist verändern, d.h das gezielte entfernen von bereitgestellten ports, nicht so ganz einfach..ich hatte zumindest nicht den nerv. die susefirewall2 ist nicht wie eine selbstkonstruierte aufgebaut.
hinzufügen geht. müsste eine ....custom-config-datei im packet enthalten sein.

ciao

Hallo!
Ist es eigentlich sicherer seine eigenen Regeln mit den IPTABLES zu erstellen ? Oder genügt der Standartschutz der Fiewall 2 auch ? Ich bin bisher eigemtlich recht zufrieden damit, und möchte nur noch ungern etwas an meiner Konfiguration ändern, nachdem ich das jetzt mit viel Geduld und Spucke zum laufen gebracht hab.

nur als info:

ich verwende einen netbsd-router mit selbstgestrickter ipf-firewall.

Jo, ich hab auch ne selbstgebastelte iptables firewall.

der vorteil ist halt, dass du genau weißt, was du verboten hast und was nicht.

naja, das krieg ich über die firewall2 auch raus ich kann mir ja die iptables kernel-liste verändern und ausserdem besteht die möglichkeit die regeln zu erweitern und sachen die irrtümlicherweise erlaubt wurden nachträglich doch noch zu verbieten. Man spart sich für die Grundfunktion ne Mengte Konfigurationsaufwand, den rest kann man ja immer noch selber basteln

ich fühl mich hinter ner selbstgebastelten firewall wohler...
da weiß ich 100% was erlaubt ist und was nicht und muss nciht erst alle regeln durchgucken um das rauszufinden...

naja war mir bisher noch zu viel Aufwand das Zeug selber zu schreiben. Villeicht mach ichs wenn ich mal Zeit habe, mal aber ich bin mit den SuSE Regeln eigentlich sehr zufreiden weil die sehr sicher sind.

Also ich bin absoluter Linux Anfänger und habe keinen dunst wie man die SuSE Firewall selber einstellt ! Kennt jemand ein paar gute links zum Thema IPTABLES, möglichst auf Deutsch:confused:

Thx schon mal ;)

was willst du nun ? SuSE Firewall oder ein eigens IPTABLES Skript. Die SuSE Firewall Konfig-File ist doch gut kommentiert, ansonsten schau mal in die Doku unter /usr/shar/doc/packages/SuSEfirewall2 oder im Netz unter http://sdb.suse.de/de/sdb/html/sm_masq2.html
Ein paar Sachen zum Thema Iptables findest du unter http://netfilter.samba.org

ich sag es ganz ehrlich...

nachdem ich mir die regeln angeschaut hab, die die suse firewall erstellt hat, hab ich mir meine eigene iptables-regelliste erstellt...

mag ein subjektives gefühl sein, aber man hat dann alle regeln selber gesetzt und ist sich der sache doch etwas sicherer.. =)

und so schwer sind iptables dann auch nicht... man muss halt nur von der logik her den netzwerktrafic fltern... die syntax ist easy...

Ich habe meine IPTABLES-Firewall auch selber gebaut.
Wenn du ein bisschen Ahnung von TCP/IP (eigentlich nur IP) hast, kannst du schon beginnen.

Stell die default-policy auf DROP und erlaub dann der Reihe nach den Traffic den zu zulassen möchtest. Schau dir auf jeden Fall die ganzen conn_track und STATE sachen an. Und MASQ z.B. ist eine Sache von 2min (sind nur 2 Regeln und dafür gibts hauffenweise Dokus.

Ich würde einer SuSE-Firewall nicht wirklich vertrauen, wer weiss was die alles macht. Allein das Wort "SuSE" und das Wort "Firewall" in einem Satz ist schon sehr gewagt. :-)

BTW, ich verwende Debian.

mfg,

naja, wenn man sich den code der firewall mal anguckt so ist sie als standard-firewall und fürs masquerading auf jedenfall zu gebrauchen. blind vertrauen würde ich SuSE auch nicht. aber sie sind immerhin nicht schlecht, bis vor kurzem hatten se noch die größte sicherheitsabteilung der kommerziellen linux-distributoren. ich fänds nicht schlecht, wenn ein moderator dieses thema so langsam mal schliessen würde, denn dauernd nimmt hier einer an der abstimmung teil oder postet irgendwas. lasst das thema doch endlich mal verschwinden.

Hi,

also ich erstell mir lieber meine Regeln selbst und mach das über ein IPTABLES-Skript, denn da weiß ich, was ich gemacht hab....

Ciao, Nono.

PS: Eine Anleitung für eine "Anfänger"-FW, die aber efektiv arbeitet gibt es hier... (http://www.linuxeinsteiger.org/anleitungen/netzwerk.html)

nicht schon wieder einer, der was postet. könnt ihr nicht mal aufhören diesen dämlichen thread die ganze zeit hochzuholen. wie wärs wenn einh mod ihn mal schließt ???

Original geschrieben von Newbie2001
nicht schon wieder einer, der was postet. könnt ihr nicht mal aufhören diesen dämlichen thread die ganze zeit hochzuholen. wie wärs wenn einh mod ihn mal schließt ???

Hi,

schön, daß du ihn selbst hoch geholt hast.....

Ciao, Nono.

Bin auch der Meinung dass ein selbstgeschriebenes iptables-skript maximale sicherheit und (geborgenheit :D) bieten kann...

ich verwende das auch für ipmasquerading, bin aber noch neu darin.

was ich nicht versteh: wo der genau unterschied zwischen der FORWARD, und der POSTROUTING chain ist...

wenn ich jetzt filterregeln für's routen, also für ipmasquerading erstellen will, kommen die in POSTROUTING oder?
aber wozu ist dann noch die FORWARD chain?

wäre toll wenn mich diesbezüglich jemand aufklären könnte :)


mfG Afterburner

die kommen in den POSTROUTING chain. Für das Routing bestimnmter ports vom router zum client brauchst du aber prerouting. übrigens kann man die SUSEfirewall2 auch nach seinen bedürfnissen umbauen, die besteht auch nur aus einem shellskript, dass man nach belieben umbauen kann wenn es eínem nicht gefällt.

ok jetzt weis ich für was prerouting und postrouting sind.

aber forward?


mfG Afterburner

ich hab nen suse 7.3 mit iptables...

Original geschrieben von Afterburner
ok jetzt weis ich für was prerouting und postrouting sind.

aber forward?

Die FORWARD-Chain ist die durch die die Pakete gehen wenn sie nicht für den lokalen Rechner bestimmt sind. Das wäre z.B. der Platz um bei einer Firewall(Gateway/Router und was weiss ich noch alles) die Regeln für Connections reinzuschreiben. z.B auf welche Maschinen im LAN von aussen auf welche Prots zugegriffen werden darf.

Ciao, Bernie

aber das wird doch auch alles maskiert, gehört dass dann nicht schon wieder in postrouting?