Firewall Script für 2 Netzwerkkarten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema Firewall Script für 2 Netzwerkkarten gibt es 6 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Firewall Script für 2 Netzwerkkarten

    Ich habe im Server 2 Netzwerkkarten für intern und extern.
    Für die Firewall habe ich mir ein Script angepasst aus der Vorlage:
    OpenSUSE 42.3/Firewall – Hyperweb & OpenSim

    Shell-Script

    1. interface="eth1" # für Interne Netzwerkkarten
    2. #### IPv6 Konfigurationsblock ####
    3. # alle alten Regeln löschen
    4. ip6tables -F
    5. # alle Ports schließen
    6. ip6tables -P INPUT DROP
    7. ip6tables -P OUTPUT DROP
    8. ip6tables -P FORWARD DROP
    9. #### IPv4 Konfigurationsblock ####
    10. # alle alten Regeln löschen
    11. iptables -F
    12. # alle Ports schließen
    13. iptables -P INPUT DROP
    14. iptables -P OUTPUT DROP
    15. iptables -P FORWARD DROP
    16. # spezielle Steuersignale für IPv4 Kommunikation
    17. iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
    18. iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
    19. iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
    20. iptables -A OUTPUT -p icmp -j ACCEPT
    21. # lokalen Datenverkehr erlauben, notwendig für das Betriebssystem!
    22. iptables -A INPUT -i lo -j ACCEPT
    23. iptables -A OUTPUT -o lo -j ACCEPT
    24. # bereits bestehenden Verbindungen das Antworten erlauben
    25. iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
    26. iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
    27. # eingehend SSH erlauben, eventuell Portnummer anpassen (für Fernwartung)
    28. iptables -A INPUT -i ${interface} -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
    29. # ausgehend DNS erlauben (für Auflösung von Domainnamen)
    30. iptables -A OUTPUT -o ${interface} -p udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    31. iptables -A OUTPUT -o ${interface} -p tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    32. # ein- und ausgehend HTTP erlauben (für SW-Updates und Webserver)
    33. iptables -A INPUT -i ${interface} -p tcp --dport 80 -j ACCEPT
    34. iptables -A OUTPUT -o ${interface} -p tcp --dport 80 -j ACCEPT
    35. # ausgehend NTP erlauben (für Zeitsynchronisation, entfällt bei virtuellen Servern)
    36. iptables -A OUTPUT -o ${interface} -p udp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
    Alles anzeigen


    Nun wollte ich meine 2. Netzkarte für Extern konfigurieren, dazu verdoppel ich das von oben und kommentiere sowas wie SSH aus, weil der Server nur über 192.168.x.x administriert wird.
    also
    ....
    # Jetzt 2 Netzwerk Karte für Extern
    interface="eth0" # für Extern
    ... alles wie oben bis auf 1-2 Ausnahmen wie kein SSH

    Doch damit werden alle Einstellung von ganz oben (eth0) überschrieben.
    Wie kann ich beide Netzwerkkarten unabhängig konfigurieren?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von neptun ()

    Für den Inhalt des Beitrages 131526 haftet ausdrücklich der jeweilige Autor: neptun

  • Wenn du das wirklich zu Fuß erledigen möchtest,
    wirst du den Netzwerkstack von Linux erst richtig verstehen lernen müssen.

    Ich kann dich aber beruhigen:
    Die riesigen Löcher, die du mit deinen Versuchen aufreißt,
    sind relativ harmlos, weil TCP/IP-sei-Dank dein Router weiterhin stoisch die schlimmsten Sachen abfangen wird.
    Aber unsicherer wird dein Netz auf jeden Fall.
    Das wird viele draußen freuen.

    Zur Sache:
    Definiere einfach die Zonen korrekt.
    Interne Zone für alle lokalen Subnetze, externe Zone für die Gatewaykarte.
    Dann den Zonen entsprechenden Regelketten zuweisen.

    Korrekte Zonen wären: Eine Netzwerkkarte für lokales Netz, die zweite Karte in eine demilitarisierte Zone und der Router bedient mit seinen beiden Interfaces dann die externe und die demilitarisierte Zone.
    FALLS du den gesamten Netzwerkverkehr über diese Firewall routen möchtest.
    (Falls nicht, macht die zweite Karte und dieser Setup nicht wirklich Sinn)

    Zu den minimalen Basicregeln, die dieses fragwürdige Script empfiehlt, brauchst du natürlich noch irgendeinen Weg, wie die Pakete der anderen LAN- Stationen in's brave Internetz gelangen können (in diesem Szenario ist tatsächlich das böse Internet brav. relativ gesehen).
    Also wirst du irgendeinen Mechanismus dafür brauchen.
    Die einfachste Methode wäre Masquerading (Forwarding).

    Good luck!

    Bezeichnend finde ich den Satz "Die über Yast konfigurierbare SuseFirewall2 erzeugt eine undurchsichtige Vielzahl von Filterregeln...." aus deinem Link.
    Eine gute Gelegenheit mal drüber nachzudenken, warum soviele Regeln erstellt wrden. Vielleicht sind die ja gar nicht so unwichtig, oder sind sogar nötig...

    Und natürlich kann man ausgehende Verbindung ebenfalls blocken. Das will man aber eigentlich nur in Hochsicherheitsnetzwerken mit Accounting.

    Wenn man dir konkreter helfen soll, wäre es sinnvoll, du würdest deine Topologie präzise beschreiben UND __genau__ den Zweck und das Ziel beschreiben, was du damit erreichen möchtest.
    Einfach irgendein Script aus dem bösen Netz verbasteln, ist niemals eine wirklich gute Idee.
    Bei der Firewall erst recht nicht.
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 131534 haftet ausdrücklich der jeweilige Autor: Berichtigung

  • Ich dachte mit den ersten 10-15 Zeilen wird der Server erst mal 100% dicht gemacht,
    und dann nur das geöffnet was man braucht wie Apache Extern und SSH Intern.

    Es sollte ein Webserver werden, der an eine öffentliche IP hängt.

    Der Server wird über eine 2. Netzwerkkarte im 192.168 Netz administriert.

    Also nur Apache soll von außen erreichbar sein, Postfix mailt nur raus, empfängt aber nichts. Sowas wie FTP und Masquerading soll es nicht geben.

    Die Typs von "Anfänger- & Startprobleme"
    beliefen sich alle auf einer Grafischen Oberfläche wie KDE, ich habe aber nur eine Server Installation auf Shell ebenen, oder habe ich was übersehen?


    Früher unter Suse 13 war es echt viel einfacher unter Yast, da konnte man für jede Netzwerkkartebestimmen was sie macht.

    Oder reicht es die normale Firewall on zu lassen und Apache per Regel durchzulassen?
    Mein Gedanke war Firewall off und das Script beim Reboot starten.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von neptun ()

    Für den Inhalt des Beitrages 131541 haftet ausdrücklich der jeweilige Autor: neptun

  • Ich wollte vor allem die Topologie wissen.

    Wo steht welche Kiste, und wie sind die verkabelt oder verWLANt?
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 131549 haftet ausdrücklich der jeweilige Autor: Berichtigung

  • Der Server steht mit 10 anderen Servern im Serverraum bei uns im Keller, die anderen Server sind alle noch mit suse13 und sollen langsam erneuert werden.
    Wir haben eine Standleitung, dort hängen alle Server dran.
    Der neue Server hängt auch noch an unseren 192.168 lan.

    Aber Server hängt jetzt natürlich noch nicht an die Standleitung, das passiert erst wenn der abgesichert ist.

    Ich werde mich wohl mal mit FirewallD auseinander setzen müssen, aber das ist ja auch alles Script gesteuert.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von neptun ()

    Für den Inhalt des Beitrages 131552 haftet ausdrücklich der jeweilige Autor: neptun

  • Ich denke, du solltest es einfach lassen Server zu administrieren.

    Wenn du als "Profi" weder im Stande bist die Topologie korrekt zu beschreiben, noch irgendeinen Plan von Firewalls und wohl kaum einen Plan von Linux, aber ganz sicher überhaupt keinen Plan von Netzwerken hast
    wird das im Desaster enden.

    Was meinst du mit "Standleitung"? Tatsächlich eine x25 Leitung?
    Und wenn ihr eine Standleitung habt, wozu dann eine Firewall?
    Das macht jetzt überhaupt keinen Sinn mehr.

    Besorgt euch jemanden, der sich damit auskennt.

    Es ist außerdem völlig egal, ob du eine Firewall mittels Scripte, zu Fuß oder mit irgendwelchen Tools konfigurierst.
    Die Rulechains müssen passen.
    Alles andere ist Zucker drüber.
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 131553 haftet ausdrücklich der jeweilige Autor: Berichtigung

  • Standleitung? Das interessiert mich auch, wie man so etwas kostengünstig umsetzt. Habt ihr eine E1, E3 oder STM1? Wie hoch sind da die Mietkosten? Oder hältst du ein Telekom-Angebot mit fester IP für eine Standleitung? Erzähl mal, was du da für ein Paket hast und ob das bezahlbar ist.

    Für den Inhalt des Beitrages 131556 haftet ausdrücklich der jeweilige Autor: Alero