Re: IPFilter/NAT für internen Client

From: Andreas Braukmann <braukmann(at)tse-online.de>
Date: Fri, 27 Feb 2004 08:28:56 +0100



On 02/27/04 00:01:04 +0000 Werner Schalk wrote:


> Kann ich für einen internen Client, der über eine separate Netzwerkkarte 


> Zugriff auf meinen FreeBSD-Server hat, sämtlichen Zugriff auf den 


> FreeBSD-Server verbieten und dennoch alle Anfragen ins Internet weiterleiten?



ja.



Du hast also folgende (voellig "normale") Struktur?



[beschraenkter interner Client]o-----LAN-B--o[ FreeBSD ]o.... Internet


       [andere interne Clients]o-----LAN-A--o[ Gateway ]


       



> Also praktisch soll der interne Client Zugriff aufs Inet haben (über 


> FreeBSD-Server, der bereits als Router für andere Clients aus anderen 


> Subnetzen dient), aber keinen Zugriff auf den FreeBSD-Server selbst, geht 


> das?



ja.


Du muesstest nur spezifizieren, was Du mit "keinen Zugriff" auf den


FreeBSD-Server "selbst" meinst. Wenn es nur darum geht, dass der/die


Anwender aus LAN-B keinen, der vom Server fuer LAN-A angebotenen,


Dienste benutzen sollen, wuerde ich bei der Konfiguration dieser


Dienste ansetzen. Je nach Dienst bieten sich diverse Varianten an:


    * verhindere, dass sich die Dienste ueberhaupt an das Interface


      ins LAN-B binden


    * fuer per inetd angebotene Dienste (oder andere gegen libwrap


      gelinkte Dienste) kannst Du die TCP-Wrapper-Funkionalitaet


      benutzen, um die Zugriffe recht feinkoernig zu regeln;    


    * verwende die jeweiligen Features der betroffenen Dienste, um


      den Zugangsschutz zu realisieren



Alternativ zu diesem Ansatz auf Applikationsebene, kannst Du natuer-


lich auch einfach "passende" Regeln im Paketfilter-Regelsatz unter-


bringen. Wenn Du sehr rigide sein willst, muss das nicht einmal son-


derlich kompliziert sein. (Da Du ipf verwendest, ich "ipf" aber nicht


aus dem Handgelenk spreche, belasse ich es bei einer vereinfachten,


verbalen Beschreibung):


    - erlaube den Paketfluss zwischen Adressen aus LAN-B an 


      Adressen im Internet (weder LAN-A, noch FreeBSD-Gateway)



    - verbiete den Rest


    oder


    - verbiete den Paketfluss zwischen Adressen aus LAN-B und


      Adressen des FreeBSD-Gateways



Ich persoenlich halte den Eingriff auf Paketfilter-Ebene fuer fehler-


anfaelliger, schlechter wartbar und weniger flexibel. (Insbesondere,


wenn man die Zugriffe dann doch mal feinkoerniger steuern moechte.)



-Andreas



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 27 Feb 2004 - 08:44:15 CET













search this site