Re: [Debian]:Firewall

Thu, 13 Jul 2000 20:43:58 +0200 (CEST) 

Hallo Holger,

ich habe (von Deinem Ansatz ausgehend) mal ein fast(!) "symmetrisch"
aufgebautes Skript getestet. Ich habe zwei lokale Subnetze
(192.168.100.0/24 und 192.168.200.0/24).

        ipchains -F input
        ipchains -P input DENY
        ipchains -A input -i lo -j ACCEPT 
        ipchains -A input -i eth+ -s 192.168.100.0/24 -j ACCEPT
        ipchains -A input -i eth+ -s 192.168.200.0/24 -j ACCEPT
        ipchains -A input -i eth+ -s! 192.168.100.0/24 -j DENY
        ipchains -A input -i eth+ -s! 192.168.200.0/24 -j DENY
        ipchains -A input -i ippp+ -s 192.168.100.0/24 -j DENY
        ipchains -A input -i ippp+ -s 192.168.200.0/24 -j DENY
        ipchains -A input -i ippp+ -p TCP -y -j DENY 
        ipchains -A input -i ippp+ -j ACCEPT
        
        ipchains -F forward
        ipchains -P forward DENY
        ipchains -A forward -s 192.168.100.0/24 -j MASQ
        ipchains -A forward -s 192.168.200.0/24 -j MASQ

        ipchains -F output
        ipchains -P output DENY
        ipchains -A output -i lo -j ACCEPT
        ipchains -A output -i eth+ -d 192.168.100.0/24 -j ACCEPT
        ipchains -A output -i eth+ -d 192.168.200.0/24 -j ACCEPT
        ipchains -A output -i eth+ -d! 192.168.100.0/24 -j DENY
        ipchains -A output -i eth+ -d! 192.168.200.0/24 -j DENY
        ipchains -A output -i ippp+ -d 192.168.100.0/24 -j DENY
        ipchains -A output -i ippp+ -d 192.168.200.0/24 -j DENY
        ipchains -A output -i ippp+ -p TCP -y -j ACCEPT 
        ipchains -A output -i ippp+ -j ACCEPT

Es scheint sogar zu funktionieren. Verbindungen nach draußend werden
zugelassen. Eingehende Verbindungen werden verschluckt. Pakete mit
internen Source-IPs dürfen nicht rein, Pakete mit internen
Destination-IPs dürfen nicht raus. Verbindungsaufbau nach draußen
erlaubt, nach drinnen verboten.

Mich würde ein Statement eines Experten interessieren, ob diese
Konfiguration als simple Ausgangsbasis geeignet ist... Oder gibt es
grobe Schwachstellen?

Viele Grüße

Michael Hierweck

-- 
PGP - Key-ID:         0xBD64F025
PGP - Fingerprint:    BDB1 2E59 7D13 7607 F4F4  B9D8 5CE3 4084 BD64 F025

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an [EMAIL PROTECTED] die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     734

Antwort per Email an