Hallo Marcus,
ich fände es in der Tat schön, wenn es eine Musterlösung gäbe, denn ich
habe bisher auch mehrere Regeln, und es wäre schön, wenn ich wüsste, was
der Musterlösung würdig wäre.
Bsp 1:
(aus der Datei /var/ipfire/firewall/config)
15,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,443,externes
HTTPS -> ORANGE cleese:443,ON,,,,,,,,,00:00,00:00,ON,Default
IP,443,dnat,,,,,second
sieht dann im Webinterface so aus:
TCP | Alle | Firewall(ROT): 443 -> 172.16.17.2:443
* Da ist ein DNAT drin auf dem roten Interface der Firewall
* Idee ist, dass jetzt alle, von außen wie innen auf den WEbserver
zugreifen können.
Bsp 2:
hab ich noch zusätzlich einen apt-cacher am laufen (auf port 3142)
18,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,3142,all
may route 3142 to cleese in ORANGE - wg.
apt-cacher-ng,,,,,,,,,,00:00,00:00,,AUTO,,dnat,,,,,second
oder im Webinterface:
TCP | Alle | 172.16.17.2:3142
* kein NAT
* an den kommt man nur von innen (rot,orange, grün subnetze, blau, etc.)
dran, weil Port 3142 beim Belwuerouter gesperrt ist.
Bsp 3:
Der Owncloud-server (alle meine rechner in Orange) brauchen ein LDAP
loch zum Musterlösungsserver:
20,ACCEPT,FORWARDFW,ON,std_net_src,ORANGE,tgt_addr,10.16.1.1/32,,,,,ON,,,cust_srvgrp,DMZtoServer,ORANGE
may route DMZtoServer ports to
server,ON,,,,,,,,,00:00,00:00,,AUTO,,dnat,,,,,second
* dabei ist "DMZtoServer" eine custom service group "Dienstgruppe", wo
die Ports 53 (DNS) TCP+UDP, 443 TCP, 389(LDAP) TCP+UDP, 636(LDAPS)
TCP+UDP und 123 (NTP) UDP drin sind.
* Dass hier vermutlich nicht alle Ports nötig sind und auch nicht, dass
es für komplett "ORANGE" geöffnet wird, ist vermutlich das größte
Sicherheitsproblem, dass ich mir ausmalen kann.
Fazit: Was sollen wir als Musterlösung ins Handbuch schreiben?
Grüße, Tobias
TCP,UDP | ORANGE | 10.16.1.1:DMZtoServer
Am 10.05.2016 um 07:26 schrieb Marcus Numrich:
Hallo Jörg,
nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch
gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P
Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend
sonst niemand hier - wieso? Wir sollten doch irgendwie alle
musterlösungsmäßig unterwegs sein...
Ein Sicherheitsproblem ist die Regel ja nicht, oder?
Viele Grüße,
Marcus
Am 09.05.2016 um 10:56 schrieb Jörg Richter:
Hallo Marcus,
es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy
fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage
vom IPFire aus - und dann natürlich vom orangen Interface.
Viele Grüße
Jörg Richter
Marcus Numrich <n...@lug-kirchheim.es.bw.schule.de> hat am 9. Mai 2016
um 09:12 geschrieben:
Hallo zusammen,
ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben
hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P
Also, die Regel lautet:
TCP | Interface Orange | 172.16.17.1:80
Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln
sind, soweit ich sehe, nicht nötig.
Gibt es da ein Sicherheits-Problem (Ich sehe keins)?
Viele Grüße,
Marcus
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
