Re: firewall einrichten.

From: Oliver Schneider <os(at)kobo.de>
Date: Thu, 18 Dec 2008 02:33:42 +0100

Hallo Hermann,

On Wed, Dec 17, 2008 at 03:05:19PM +0100 Hermann Schuster wrote:
> Hallo Leute.
>
> Ich muss als erstes zugeben, das ich keine Ahnung
> von Netzwerken etc. habe. Auch kann ich kein Englisch
> und bin mit Freebsd7 totaler Anfaenger.
>
> Nichts desto trotz habe ich es hinbekommen, ein
> kleines Netzwerk aufzubauen. Das sieht so aus:
>
>
> ISP
> |<-----rl0
> ---------------- |-----------------
> |saturn.local | | jupiter.local
> |192.168.0.1 -----------> 192.68.0.2
> |rl1 | | nfe0
> | Server | | Client
> ----------------- ------------------
>
> Das heisst, ueber saturn.local waehle ich mich mit ppp -nat
> ins Internet ein. ifconfig sieht dann wie folgt aus:

... okay ...

> Der Client bezieht ueber den Server Internet.
>
> Nun wollte ich eine Firewall fuer den Server bauen.
> Muss aber gestehen, das mich Handbuch und google nicht
> weitergebracht haben. Ganz im Gegenteil, es hatt mich nur
> voellig durcheinander gebracht. :-))
>
> Ich habe im Internet folgendes Script gefunden und
> an meine Verhaeltnisse angepasst.
> #!/bin/sh
> fwcmd="/sbin/ipfw -q"
> inet="192.168.0.0/24"
> client="192.168.0.2"

das mit dem Portforwarding auf deinen client ist so gewollt? also in dem
Fall SSH, HTTP gehen auf deinen Client und ich vermute die anderen UDP
Ports sind fuer irgendwelche Fileshare Geschichten (akutelles FreeBSD
ISO Image oder so)

> tcp_server="22, 80"
> tcp_forward="5662, 60000-60004"
> udp_forward="5665"
> # Traffic von aussen an die Ports $tcp_server des Routers/Servers reinlassen
> ${fwcmd} add 01100 allow tcp from any to me ${tcp_server} setup keep-state
> # Traffic von aussen an $client weiterleiten
> ${fwcmd} add 01200 allow tcp from any to ${client} ${tcp_forward} setup keep-state
> # $inet oder Router/Server Traffic rauslassen
> ${fwcmd} add 02000 allow udp from { me or ${inet} } to any keep-state
> # Traffic an $client weiterleiten
> ${fwcmd} add 02100 allow udp from any to ${client} ${udp_forward} keep-state

Der Server waere so fuer Anfragen von aussen nicht erreichbar. Als guter
Anhalt koennte dir /etc/rc.firewall dienen, das Englisch in den
Kommentaren ist meist sehr einfach. was ich in deiner Konfiguration
nicht sehe ist ein Verhindern von Spoofing, sprich Du verhinderst nicht,
dass interne Adressen (192.168.x.y) auf dem externen Interface eingehen,
aber auch das ist in /etc/rc.firewall zu sehen. Deinen Beduerfnissen am
naechsten kommt vermutlich der Abschnitt simple, wobei der treffender
network heissen sollte, aber egal.

Als wesentlich fuer die Sicherheit wuerde ich aber immer aktuelle Versionen
der installierten Applikationen ansehen. Insbesonder natuerlich Browser
und eMail-Client aber auch Sachen wie der PDF-Reader, Bildbetrachter,
Video- und Audioplayer etc.

Als leztes sollte man sagen, Dienste die nicht laufen koennen auch nicht
angegriffen werden.

Gruss
Oliver

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 18 Dec 2008 - 02:33:48 CET

search this site