Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerke einrichten

 
Internet-Gateway und Firewall

geschrieben am 20.02.2007 um 15:42 von Sigar

Hallo

Würde mich freuen, wenn Ihr mir helfen könntet.

Konfiguration
Habe einen Cablecom-Anschluss mit Kabelmodem. Das hängt an einem Server (Debian Sarge 2.6.18-4-686), auf dem folgende Dienste laufen:
[list]DNS
DHCP nach innen
HTTP mit Apache2 nach aussen und innen
SMTP/IMAP mit Postfix und Courier nach aussen und innen
Samba nach innen
Firewall mit iptables
SSH nach innen
Squid Proxy nach innen
[/list:u]
An einer weiteren Netzwerkkarte hängt eine Fritz!Box 7150, die VOIPd und für Laptops bzw. einem Wireless-Drucker Wirelesszugang bietet.
An einer dritten Karte hängt ein PC, mit dem ich vollen Zugang zum Server habe und die Administration mache. Oben bedeutet also

Quote:
innen
Zugang zu Fritz und AdminPC und
Quote:
aussen
Anschluss zum Kabelmodem.

Die Laptops melden sich per DHCP an der Fritz an. Der AdminPC hat eine feste IP im gleichen Netz wie die entsprechende Karte im Server. Dort ist für den DNS-Server meiner eingetragen. Gesurft soll über Squid werden.

Für das Masquerade hab ich ip_forward angeschaltet und in die POSTROUTING Kette MASQUERADE für den Zugang zum Kabelmodem geschrieben.

Jetzt gibt es ja bei iptables drei Hauptketten:
[list]OUTPUT
INPUT
FORWARD[/list:u]

Für den Anschluss zum Kabelmodem hab ich über die INPUT folgende Ports freigegeben:
[list]UDP/TCP 25, 465 (SMTP)
UDP/TCP 143,993 (IMAP)
TCP 80,443 (HTTP/HTTPS)
UDP 5004,5060-5062, 7077-7097, 10000 (VOIP)
UDP 67, TCP 68 (DHCP)
UDP 1000, 4500,500,10000,62514, TCP 10000, Protokoll ESP (VPN)
UDP/TCP 53 (DNS)
[/list:u]
...über die OUTPUT:
[list] alles mit state RELATED und ESTABLISHED
UDP 67, TCP 68 (DHCP)
UDP 1000, 4500,500,10000,62514, TCP 10000, Protokoll ESP (VPN)
UDP/TCP 53 (DNS)
[/list:u]

Für den Anschluss zum AdminPC und Fritz hab ich einfach alles für INPUT und OUTPUT erlaubt. (Später möchte ich den Anschluss zu Fritz strikter handhaben.)

Die FORWARD ist leer. Policy für alle Ketten ist natürlich DROP.

Fragen
Aber irgendwie geht das immer noch nicht, so wie ich das will. Folgendes geht:
[list]HTTP und Skype über Squid von AdminPC und Laptop
VOIP über Fritz
Mein Homepage ist von aussen erreichbar
IMAP ist von aussen erreichbar
SMTP ist von aussen erreichbar
[/list:u]
Wie bekomme ich aber folgendes hin:
[list]VPN auf Laptop und AdminPC
Streaming von Filmen oder Webradio
Meine Seite von innen über URL und nicht nur über die IP
[/list:u]

Ist das sicher genug? Vielleicht mach ich einen Denkfehler und muss in der FORWARD-Kette was aufmachen bzw. die Ports in beide Richtungen erlauben. Meint Ihr, dass nach der Firewall (also nach innen) alles aufgemacht werden kann oder kann man sich etwas vorstellen, das vom AdminPC auf den Server und/oder ins Internet geht, um was böses zu tun? Am AdminPC arbeite (surfen, etc) nur ich. Sollte ich also die Ports da auch so zu machen? wenn ja welche?

Kann mir bitte jemand helfen?!

Einen schönen Gruss aus der Schweiz
Sigar
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 17.10.2017