Hallo,
ich hab nen Linux server auf dem nur Samba und Squid läuft. Der soll jetzt ans Internet per ISDN und braucht ne Firewall. Pop, smtp, ftp sollten von den Client aus zugänglich sein. Da diese iptables Sache kompliziert aussieht hab ich mich mal an SuseFirewall2 gewagt ;) Jetzt brauch ich mal jemanden mit Ahnung der sich das anguckt ob das alles ok ist.


FW_QUICKMODE="no"
FW_DEV_EXT="ippp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="ftp smtp pop"
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP="139 3128 10000"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="yes"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

moin moin


Pop, smtp, ftp sollten von den Client aus zugänglich sein.

ich nehme mal an, das du damit meinst, das die clients auf ftp, mail server im web zugreifen dürfen, oder?
wenn ja ändere mal folgende variablen

FW_ROUTE="no" <== auf yes setzen

FW_MASQUERADE="no" <== auf yes setzen

FW_SERVICES_EXT_TCP="ftp smtp pop" <== hier brauchst du nichst eintragen, denn hier kommen nur dienste rein, die direkt auf dem firewall-rechner laufen und vom inet aus erreichbar sein sollen.

FW_ALLOW_PING_EXT="no" <== mitunter ganz praktisch, wenn du vom lan ins inet pingen kannst, also auf yes setzen


firewall neustarten nicht vergessen ;)


Gruß HL

Hi,

setze noch:
FW_MASQ_NETS="0/0"
Damit sind alle angeschlossenen Netze berechtigt, über die FW Zugang zum Internet zu erhalten, oder passe es halt Deinem Netzwerk an.

Wenn dann nachher die Grundkonfig funzt, solltest Du auch noch:
FW_PROTECT_FROM_INTERNAL="yes"
setzen.
Damit wird definiert, daß nur die explizit angegebenen Protokolle/Ports Zugriff haben.

Gruß

Danke. Ich werde Montag das mal testen.

huuch ist das aber bösss :mad:

quote:
------------
FW_MASQ_NETS="0/0"
------------
!!besser ist es dort deine eigenen einstellungen einzutragen zB. 192.168.0.0/24!!

SAMBA solltest du nicht auf den gleichen rechner laufen lassen, gibt nur probleme mit der außenwelt.

hier noch einige ergänzungen, was du noch verwenden solltest, wenn noch nicht alles klappt:
---- SuSE 8.2 ---
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.0.0/24"
FW_PROTECT_FROM_INTERNAL="yes"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_INT_TCP="domain ssh ftp www pop3"
FW_SERVICES_INT_UDP="domain ssh www pop3"
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_SAMBA="no"
FW_KERNEL_SECURITY="yes"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"
FW_REJECT="no"