iptables mit 4 Netzen

[BerndMon]

Hallo Leut..

habe jetzt schon einiges gelesen zu iptables. Bin Leider noch nicht so richtig schlau gewurden.

Ich will einen Firewall zwischen drei int. Netzen und einen ext. Netz setzen. Dabei sollen die int. Netze sich nicht gegenseitig sehen und es sollen verschiedene Ports freigegeben werden (die ssh soll nur von einem Netz aus laufen). Auf den Firewall läuft noch als Server dns, dhcp, ntp und ein proxy.

Das Script von SuSE ist zwar gut, geht aber leider für diese Anwendung nicht. Das Scrit von Harry ist leider noch nicht dafür ausgelegt. Beim vergleich der regeln zwischen beiden mußte ich feststellen, daß Harrys wesentlich kürzer ist.

Kann mir jemand mitteilen, wie ich eins der Scripte auf drei interne Netze erweitern kann.

Gruß Bernd

[Jinto]

das ist ein relativ spezielles anliegen, eine weitere Einarbeitung wird dir da vermutlichj nicht erpsart bleiben. Vielleicht nehmen dir Tools ala fwbuilder & Co. einen Teil der Arbeit ab (wobei ich die handgemachte Lösung favorisieren würde).

http://netfilter.samba.org/
http://www.linuxguruz.com/

[Matzetronic]

hi,

wie sicher soll das ganze denn werden, bzw. was hängt an welchem netz ? am besten ist ja immer die vorgehensweise: ein dienst - ein rechner (geht wg. begrenzter HW meist nicht), aber auf eine firewall so viele dienste draufpacken ???

(einarbeitung in die materie halte ich wie mein vorredner für notwendig).

mfg,
matze

[BerndMon]

hi matze,

es sind nur ein paar ausgewählte dienste, welche ich eh in jedes netz stellen will, also dafür einen extra server hinstellen später, erstmal dieses problem lösen.

es sollte schon von außen (Internet) sicher sein. intern sollen eigentlich die netze sich gegenseitig nicht sehen können.

gruß bernd

[Zaphod-B]

Moin,
vielleicht hilft dir dieser Link weiter:

http://www.shorewall.net/

Die SuSEfirewall2 ist ein sehr feines Script, kommt allerdings wegen der (Zialgruppenbedingten) Einfachheit schnell an seine Grenzen.
Die Shorewall ist da deutlich komplexer, bietet aber deutlich mehr Möglichkeiten, und ist, unter anderen auch mit Webmin zu bearbeiten.




Greetings Zaphod-B

[tomes]

die Netze pysikalisch oder logisch ?
Wie sieht den das Script von Harry jetzt aus ?
ssh von einem Netz unbeschraenkt in alle anderen Sub-Netze, oder auch nach draussen, oder nur auf die Firewall ?
Da ein Proxy laeuft brauchst du ja kein Masquerading, ist den Routing an ? Wegen dem ssh.
Du koenntes das Routing auch ganz verbieten und nur ueber die Firewall per ssh weiter gehen.
usw.

T;o)Mes

[BerndMon]

danke ich werd mir erstmal den shorewall reinziehen.

ich habe mit das script von harry zum vergleich mit suse mal reingezogen und einen vergleich angestellt. da sind mir einige sachen aufgefallen, wo ich noch etwas hilfe benötige.

bei suse sind für die einzelnen netze chains angelegt und für jedes einzelne chain die gleichen regeln (nur mit den unterschied zum port ssh auf den firewall).

bei suse habe ich auch gesehen, daß nach einen default police drop nochmals einiges gedropt wird. dieses wird doch nicht wirklich gebraucht, oder nur, wenn dieser zugriff auch protokolliert werden soll zB:

# erstmal alles flushen
iptables -P INPUT DROP
iptables -N input_int
iptables -A INPUT -j input_int -i eth1 -s 192.168.0.1
# die nächste zeilen nur zum protokollieren?
iptables -A INPUT -j LOG --log-level warning --log-tcp-options --log-ip-option --log-prefix ILLEGAL
iptables -A INPUT -j DROP

jetzt brauhce ich hier für INPUT nichts mehr zu droppen, da dieses oben geschah, sondern nur noch für input_int. dieses kann ich aber mit einer default police vorherr vereinfachen. liege ich da richtig?

das mit masq und route und proxy (transparent) fand ich bis jetzt noch nicht so einfach. der proxy soll http(s) und ftp cachen. telnet und ssh sollen weiterhin noch ins internet gelangen. nur ssh auf den firewall soll nur von einen int netz aus gehen.