Hi

ich würde meine SuseFirewall2 gerne so konfigurieren, das auch vom internen Netz wirklich nurnoch die Dienste auf dem Router erlaubt sind, die ich auch wirklich brauche (ssh,samba,ftp,http usw.) ..

für den fall das man sich mal einen trojaner einfängt usw..

währe für jede hilfe dankbar!!

gruß fatality

hi

mit der variable FW_PROTECT_FROM_INTERNAL erreichst du das aber nicht. diese variable sorgt dafür, sofern sie auf yes gesetzt ist, das vom lan aus nicht ohne weiteres auf den firewall-rechner zugegriffen werden kann. angenommen du hast auf dem firewall-rechner den sshd und einen ftp-dämon laufen, du möchtest aber, das vom lan nur auf den sshd zugegriffen werden kann, dann setzt du obige variable auf yes und zusätzlich gibst du den ssh zugriff mit folgender variable frei

FW_SERVICE_INT_TCP="22"

was du erreichen möchtest, steuerst du mit folgender variable => FW_FORWARD_MASQ="", standardmäßig ist die auf 0/0 gesetzt, heißt von innen nach außen ist alles erlaubt. wenn du jetzt nur bestimmten anwendungen den zugriff auf's inet erlauben willst, gehst du so vor

FW_FORWARD_MASQ="xxx.xxx.xx.x/24,0/0,tcp,80 xxx.xxx.xx.x/24,0/0,udp,53"

xxx.xxx.xx.x <== durch dein lan ersetzen

damit ist nur das surfen möglich, für jede weitere anwendung/dienst machst du einen extra eintrag, getrennt durch ein leerzeichen, wichtig ist, das alle einträge auf einer zeile stehen.


ps: die boardsuche sollte dir auch einiges zur susefirewall ausspucken.


Gruß HL

ähm FW_FORWARD_MASQ is doch wenn ich richtig informiert bin an das external interface gebunden und nicht an das internal-interface, d.h. in FW_FORWARD_MASQ trägst du services auf der firewall ein, die wenn auf sie von aussen zugegriffen wird an einen rechner in deinem internal-lan weitergeleitet werden. man nehme an du hast nen webserver im lan und möchtest diesen von aussen erreichen, dann bist du bei dieser variable richtig (FW_FORWARD_MASQ="0/0,xxx.xxx.xxx.xxx,tcp,80"). Was die jedoch mit dem verkehr von innen nach aussen zu tun hat bleibt mir schleierhaft.
Ich nehme mal an du meinst die Variable FW_MASQ_NETS

@Newbie2001

ups genau die variable meine ich => FW_MASQ_NETS, thx für die richtigstellung :)



Gruß HL

ich danke euch erstmal für eure hilfe!!

werd mir das heute abend mal anschauen :)

ps: mir stellt sich jetzt nurnoch die frage wie ich die jeweiligen udp ports, die man ja immer mit angeben muß, rausbekommen.. mir wurde gesagt das ist immer tcp + 4, also bei tcp port 80 währe das ja dann udp 84, oder sehe ich das falsch?

gruß fatality

ps: mir stellt sich jetzt nurnoch die frage wie ich die jeweiligen udp ports die man ja immer mit angeben muß rausbekommen.. mir wurde gesagt das ist immer tcp + 4 also bei tcp port 80 währe das ja dann 84 oder sehe ich das falsch?

jein ;) für www(port 80) brauchst du gar kein udp. dann gibt es dienste, z.b. dns, die setzen beide protokolle ein. wobei bei dns udp im allgemeinen reicht.

eine übersicht findest du unter /etc/services


Gruß HL

DANKE! :)

gruß fatality

bidde ;)