Wieso brauchst Du zusätzlich zum ISDN-Router noch eine Firewall? Soll die
wirklich auf dem Server laufen ? Wenn Du schon was völlig neu aufsetzt würde
ich mir auch mal IPTables im neuen Kernel 2.4 anschauen. An eine richtige
Konfiguration der Firewall mußt Du Dich herantasten.
- Am besten erstmal ein Blatt nehmen, Deine Netzwerkstruktur mit den darauf
laufenden Applikationen aufmalen, die Ports aufschreiben und sich
grundsätzlich Gedanken machen von wo aus Netzwerkverbindungen überhaupt
aufgebaut werden dürfen.
http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html liefert da ja auch
einiges. Am besten noch ein Buch zum Thema TCP/IP Netzwerk ausleihen/kaufen
(TCP/IP Illustrated von Richard Stevens ist da meine Empfehlung).
Martin Kellner
-----Ursprüngliche Nachricht-----
Von: "Schierz" <[EMAIL PROTECTED]>
An: "lug" <[EMAIL PROTECTED]>
Gesendet: Mittwoch, 31. Januar 2001 17:48
Betreff: [PUG] denkanstoß ipchains
> hi
>
> ich benötige ein paar denkanstöße, wie ich meine Firewall aufbauen soll.
Ich
> habe nun schon unendlich viele Beispielscripte (mit ISDN) jedoch weiß ich
> nicht so recht was damit anzufangen. Denn ich habe folgenden Aufbau.
>
> Server = Apache > Groupware software auf php basis für das lokale Netz
> Postfix > IPMAP/POP3/SMTP
> DNS
> DHCP
> News > Nur lokal
> Squid > geht über ISDN Router
> Timeserver
> MySQL > nur intern
>
> das wäre ja noch kein problem, diese Dienste ensprechend einer Regel zu
> konfigurieren. Ich habe jedoch angst, wenn ich mit "ipchains -p deny all"
> anfange, das ich kein sql dns ntp etc. merh habe.
>
> Ich wollte es folgender maßen aufbauen.
>
> Die lokalen User können zu apache port 80, können mails von postfix holen
und
> senden port 110/143/25, news abfragen port 119, und weil man es überall
> benötigt, noch telnet.
>
> Wenn die user ins Internet (www/ftp/ssl/) wollen, geht das nur über Squid,
> ursprünglich wollte ich ein redirect mit ipchains von Port 80 auf 3128
> machen, geht aber nicht weil ich dann nicht mehr auf meinen Apache komme
> (stimmt doch oder?)
>
> Der server hat 2 netzwerkkarten, eine eth0 da hängt der isdn router dran,
und
> eth1 da hängen die clients mit dhcp.
>
> Der Server muß natürlich zugriff auf den mailserver vom provider haben
sowie
> den timeserver/DNS etc abfragen können.
>
> Ich wollte es so haben, das die User keinen Zugriff mehr haben auf den
ISDN
> Router sondern der Dreh und Angelpunkt der Server ist.
>
> Meine größte Sorge ist es halt, das ich irgendwelche Ports vergesse
> freizugeben, und dann zb. keinen Zugriff mehr auf meinen MySQL habe, den
den
> benötige ich, damit mein phprojekt läuft ( www.phprojekt.de ), deswegen
auch
> apache.
>
> Ich hoffe ihr könnt mir ein paar Denkanstöße geben
>
> cu denny ( www.little-idiot.de und www.pro-linux.de habe ich schon durch)
>
> ;-)
>
>
> --------------------------------------------------------------------------
-
> PUG - Penguin User Group Wiesbaden - http://www.pug.org
>
---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
