firewall von grund auf

[Andy L.]

hallo,

nachdem ich mit eurer hilfe aus euren erfahrungen und nicht nur links auf seiten, die einem nur pauschal helfen den e-mailserver am laufen habe (**THANX ALL**) nun eine frage zur firewall.

bitte erklärt mir, wie technisch ich den datenstrom lenken muss.

ich weiss, dass der aufbau so aussehen muss:

internet - router - firewall - lan OK!

folgende ausgangssituation:


internetzugang über t-online,

1x suse 6.3 server mit routing-, proxy-
und mailserver-dienst.
1x suse 6.3 pc als firewall
4x nt-server
42x nt clients

wie muss nun die ip-adressierung des lan erfolgen um ins internet zu gelangen, emails und daten zu senden und empfangen, sodass der gesamte datentransfer mit dem internet und dem wan über die firewall läuft.

ich habe bereits eine firewall installiert und aktiviert. aber definitiv steht der rechner nur im netz und schert sich einen dreck um den transfer der daten. der schlummert einfach da so rum...

also meine frage: wie hänge ich die firewall effizient zwischen lan und wan ?

ich bitte erneut um hilfestellung von grund auf. denn so lerne ich auch noch nebenbei, was ich da so mache.

thanx vorab
andy l.






------------------
Linux makes it, belive !

der Rechner, der die connection zum Internet herstellt - also die Schnittstelle zur Aussenwelt darstellt - muß auch gleichzeitig (einfacherheitshalber) der firewallserver sein

[Andy L.]

hallo Gh0stWriteR,

vielen dank für deine info. aber dem kann ich so nicht zustimmen. eine firewall soll als eigenständiger filter dienen. ist dieser filter nun auf einem server, der direkt internet hängt muss ich mich fragen, wie denn pufferzonen wie z.b. ein lokaler proxy oder lokaler mailserver ect. sauber realisiert werden kann. denn wenn der firewalldienst mit diesen genannten diensten auf einem pc laufen, sehe ich darin ein erhebliches sicherheitsloch.

verbessert mich bitte, wenn ich gedanklich falsch liege.

gruss
andy l.

------------------
Linux makes it, belive !

[blackbird]

hi andy!

das sicherheitsproblem sehe ich nicht umbedingt, eine (paketorientierte)firewall funktioniert folgender weise:

du hast 3 regeln: eingang, ausgang und weiterleitung
ein paket, welches aus dem lan ins internet will, muss alle 3 regeln passieren:
die eingangsregel (netzwerkkarte), die weiterleitungsregel und anschliessend die ausgangsregel (internetanbindung)
so könntest du zb erlauben, dass die clients aus dem netz über die netzwerkkarte auf dein proxy und zb deinen mailserver zugreifen dürfen, und mehr nicht.
weiterhin definierst du dann eine regel, dass der proxy verbindungen ins internet aufbauen darf, gleiches gilt für den mailserver.
anhand der weiterleitungsregel lässt sich dann festlegen, dass die pakete der rechner im lan nicht weitergeleitet werden, die bleiben auf dem linuxrechner. somit kommen die nur zu programmen, welche auf dem rechner laufen - proxy und mail..

ist jetzt vermutlich alles ein bisschen wirr, aber bin grad in der arbeit, werd das heut abend noch mal ein bisschen genauer machen

grüsse blackbird

Genauso schauts aus.
Es nützt nix, einen Rechner in ein Netz zu stellen, der der Firewallserver sein soll, und mit den eigentlichen Verbindungen zwischen LAN und Internet überhaupt nix zu tun hat - der steht dann halt da rum, und freut sich, das er keine Connections auf sich zulässt :-)... Das heisst also, die Firewall muss an der Schnittstelle zum Internet beteiligt werde, damit sie regeln kann, welche Daten raus bzw. rein dürfen. blackbird hat das mal ebend kurz erläutert. Ich formuliere das mal etwas aus :-))) - ok stell dir die Firewall wie eine Wand vor (Wall - wand logisch oder? :-) ) Auf de reinen Seite ist ein Raum, auf der anderen Seite auch. Beide haben keine Verbindungen. (der Router verbindet die beiden Räume durch ein grosses Loch und die Firewall stopft dieses Loch wieder komplett) Damit nun doch eine Verbindung zwischen den Räumen hergestellt werden kann, muß die Firewall ein paar Löcher freimachen (ich nenn das mal Ports) Damit die Löcher aber eine Verbindung darstellen, muss der Rechner diese Daten auch durchreichen also LAN -> Server -> Internet und umgedreht - allerdings nach gewissen Regeln. z.B. müsste der Port80 ein Loch in der Firewall sein, und dieses "Loch" direkt auf eurem Webserver "münden" ( schön blumig ausgedrückt - also keine doofen Kommentare :-)))) ) das heisst dann also, das von aussen nur über diesen Port auf den Webserver zugegriffen werden kann, nicht aber auf alle anderen Rechner des LANs....

Das selbe gilt für MAil etc....

MfG

[Andy L.]

Hallo blackbird,
Hallo Gh0stWriteR,

vielen dank für eure prompte antwort.

ich sagte ja bereits, das dieser firewall-pc da bis dato einfach nur mit einer vergebenen ip rumsteht und schlummert. dass das nicht der sinn der firewall ist, leuchtet mir ein. deshalb habe ich ja diese frage der archtektur gestellt.

zu euren argumentationen...
wenn nun aber auf einem pc der proxy-dienst, der mail-dienst und der firewall-dienst läuft, so habe ich doch folgende situation:
telnet xxx.xxx.xxx.xxx 25 !
und ich bin auf dem pc xxx.xxx.xxx.xxx, mit der möglichkeit eine mail an root oder wem auch immer zu erstellen und auf der o.g. ip abzulegen ! :-(
korrigiert mich bitte, aber das will keiner !


also stelle ich doch diese pufferzone her:

WAN | router mit mailserver | firewall | LAN


1. daten und mails aus dem WAN landen auf dem router.
2. damit diese daten an die zieladresse im LAN ankommen lasse ich diese durch eine eigene firewall surren.
3.ankunft der authentifizierten daten bei der zieladresse im LAN
4. und das gleiche spielchen vom LAN ins WAN

FALL: es kommen nicht authentifizierte daten oder "verseuchte" unerwünschte daten oder zugriffe aus dem WAN. diese landen dann maximal in der pufferzone (router) aber keinen bit weiter ! (dank der firewall)

wäre die firewall nun auf dem router, so wäre eine mailbomb auf dem router möglich, trotz der firewall, also wird die firewall-funktion umgangen und die mail ist im LAN.

bitte korrigiert mich unbedingt, wenn mein gedankenweg falsch ist. aber logisch ist er doch, oder ?

und wenn ihr mich auf den gedanklich richtigen weg gebracht habt, braucht ihr mir nur noch erklären, wie ich denn dann die firewall effizient und sinnvoll aktiviere...

vielen dank im vorau

gruss
andy l.



------------------
Linux makes it, belive !

[Andy L.]

hallo,

ich möchte mich hier wirklich mit keinem anlegen, aber aus so mancher formulierung glaube ich zu erkennen, dass ich hiermit den einen oder anderen nerve.

dennoch, ich habe erfahrungswerte genauso wie ihr. und meine erfahrungen beruhen auf dem folgenden wissen:

wir wollen reibungslose kommunikation ! wir wollen nicht, dass kommunikation ohne unser wissen erfolgt (unerlaubte kommunikation)

in einer guten firewall wird nicht alles über eine firewall geleitet. aber so penibel will ich ja gar nicht sein :-)


generelle firewall-architektur:

° applikation-gateway (proxy)
-osi schicht ab 5
-schaut in den datenstrom
-vorteil:inhaltsfilterung

° paketfilter
-osi schichten 1-4
-reicht bis transportschicht
-schaut ip-adresse nach
-schaut port nach
-schaut sich das bis zum tcp an
-vorteil:absolut transparent, die
aplikation merkt es nicht.
-nachteil:wir können nicht in den
datenstrom, keine inhaltsfilterung

INTERNET ___________
|
Paketfilter1 [==] 193.123.112.51 (ippp0)
[==] 192.168.2.254 (eth0)
|
|
[==]_______________|
192.168.2.3 (eth0) |
Proxy mit | Paketfilter2
Port 3128 |__(eth0)[==]192.168.2.1
(Squid) (eth1)[==]192.168.1.1
|
LAN |
192.168.1.0 [==]____________|

ich hoffe, dass man annähernd nachvollziehen kann, was ich da aufgemalt habe.

wie gesagt, ich will hier keinen krieg,
nur ich beschäftige mich durchaus eine weile schon mit der architektur von netzwerken...

ich will ja auch gar nicht die firewall auf 3 pcs verteilen (aber das wäre eine saubere lösung in anbetracht der osi-schichten).

dennoch bedanke ich mich ganz herzlich, für diese diskussion. chiao bis zum nächsten prob, und nicht knurren. :-)


gruss
andy l.

[Andy L.]

sorry, aber die darstellung ist wohl nichts geworden.

hier noch einmal in worten

[internet]
|
|
Paketfilter1:
[ippp0] 193.123.112.51
[eth0] 192.168.2.3
|
|
|_Proxy mit Port3128 Squid:
| [eth0] 192.168.2.3
|
Paketfilter2:
[eth0] 192.168.2.1
[eth1] 192.168.1.1
|
|
LAN:
[eth0] 192.168.1.0

das müsste besser erkennbar sein...


also, bis dann...

andy l.


------------------
Linux makes it, belive !

[blackbird]

hi andyL!

ich kann nur für mich sprechen, aber mich hast du sicher nicht genervt, keine frage!

nach deiner klarstellung seh ich das so:
du willst ein paketfilter installieren, keine app-level firewall.. das ist mal punkt 1
punkt 2 ist, dass die daten VOR und NACH dem Proxy gefiltert werden. dieses liesse sich durch aus auf dem rechner mit dem squid realisieren.
aber vermutlich reden wir wieder aneinander vorbei..
sollten uns vielleicht mal in nem chat treffen, wär u.U. einfacher ;o)
ich setzt nachher mal mein icq-uin rein, vielleicht gehts sorum ja..

grüsse blackbird

[robert]

Mal kurz etwas Senf von mir:

Computer der als Firewall/Router/Mail-Server dient:

Code:

	Internet-Anschluß
	über ppp0 dyn. zugew. IP
	(xxx.xxx.xxx.001),
	aber hier ist auch die IP
	des ISP-Server
	(XXX.XXX.XXX.100)
		^
		|
		|
	Firewall INPUT über
	IP xxx.xxx.xxx.001
	OUTPUT über
	IP xxx.xxx.xxx.100
		|
		|
	Router/Masquerading/NAT
	übersetzt interne Class-C
	Netz-Adr. auf die entsprechende
	INPUT bzw. OUTPUT Adr.
		|
		|
	Mail-Server auf interner
	Class-C Netzadresse.

So sollte es idealerweise sein (auf EINEM Computer!).
Nun kann es natürlich sein, das Firewall/Router/Masquerade/NAT alles auf einer Station sind. Dann dann paßt der Firewall entweder die internen IP-Adr. ab, oder eben (wie es besser wäre) die externen (sprich dyn. Adr.).

Wenn dir Englisch nicht schwer fällt, dann ließ mal folgenden Artikel vollständig durch, um etwas Verständnis für die Materie zu bekommen.
http://netfilter.kernelnotes.org/unr...pts-HOWTO.html

Gruß

Robert


[Diese Nachricht wurde von robert am 30. März 2000 editiert.]

[blackbird]

hmm vielleicht noch folgendes zu firewalls:
es gibt hier 2 grundlegende varianten, einmal die <ol>[*]paket filtering firewall, welche datenpakete anhand ihrer quell- und ziel ip-adresse, des protokolls und des ports zulassen/verweigern</li>[*]und dann gibt es noch application level firewall welche noch tiefer geht, hier ist es je nach programm möglich mailbomben anhand ihrer eigenschaften rauszufiltern, viren zu erkennen und zu eliminieren etc.</li>[/list=a]
allerdings wird es wohl kaum eine application level firewall geben, welche umsonst ist. - korrigiert mich bitte wenn ich mich irre - ausserdem lässt sich eine paket filtering firewall wohl noch einfacher einrichten und administrieren als eine application level firewall.
wobei letztere für ein grösseres netz letztere natürlich wieder interessanter ist, da sie sicherer ist (viren können erkannt werden etc...)

FALL: es kommen nicht authentifizierte daten oder "verseuchte" unerwünschte daten oder zugriffe aus dem WAN. diese landen dann maximal in der pufferzone (router) aber keinen bit weiter ! (dank der firewall)

wenn du dein firewall so einrichtest, dass die unerwünschten daten über dein firewall in form eines separaten rechners nicht passieren, so kannst du diese konfiguration doch genauso gut auf dem router installieren, mit dem gleichen ergebnis. die pakete verändern sich doch nicht, nur dadurch dass sie geroutet werden...

oder hab ich dein problem nicht korrekt erkannt? kann auch sein..

grüsse blackbird



[Diese Nachricht wurde von blackbird am 30. März 2000 editiert.]