Firewall Script für 2 Netzwerkkarten

Hinweis: In dem Thema Firewall Script für 2 Netzwerkkarten gibt es 6 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Ich habe im Server 2 Netzwerkkarten für intern und extern.
    Für die Firewall habe ich mir ein Script angepasst aus der Vorlage:
    OpenSUSE 42.3/Firewall – Hyperweb & OpenSim



    Nun wollte ich meine 2. Netzkarte für Extern konfigurieren, dazu verdoppel ich das von oben und kommentiere sowas wie SSH aus, weil der Server nur über 192.168.x.x administriert wird.
    also
    ....
    # Jetzt 2 Netzwerk Karte für Extern
    interface="eth0" # für Extern
    ... alles wie oben bis auf 1-2 Ausnahmen wie kein SSH


    Doch damit werden alle Einstellung von ganz oben (eth0) überschrieben.
    Wie kann ich beide Netzwerkkarten unabhängig konfigurieren?

    Einmal editiert, zuletzt von neptun ()

    Für den Inhalt des Beitrages 131526 haftet ausdrücklich der jeweilige Autor: neptun

  • Wenn du das wirklich zu Fuß erledigen möchtest,
    wirst du den Netzwerkstack von Linux erst richtig verstehen lernen müssen.


    Ich kann dich aber beruhigen:
    Die riesigen Löcher, die du mit deinen Versuchen aufreißt,
    sind relativ harmlos, weil TCP/IP-sei-Dank dein Router weiterhin stoisch die schlimmsten Sachen abfangen wird.
    Aber unsicherer wird dein Netz auf jeden Fall.
    Das wird viele draußen freuen.


    Zur Sache:
    Definiere einfach die Zonen korrekt.
    Interne Zone für alle lokalen Subnetze, externe Zone für die Gatewaykarte.
    Dann den Zonen entsprechenden Regelketten zuweisen.


    Korrekte Zonen wären: Eine Netzwerkkarte für lokales Netz, die zweite Karte in eine demilitarisierte Zone und der Router bedient mit seinen beiden Interfaces dann die externe und die demilitarisierte Zone.
    FALLS du den gesamten Netzwerkverkehr über diese Firewall routen möchtest.
    (Falls nicht, macht die zweite Karte und dieser Setup nicht wirklich Sinn)


    Zu den minimalen Basicregeln, die dieses fragwürdige Script empfiehlt, brauchst du natürlich noch irgendeinen Weg, wie die Pakete der anderen LAN- Stationen in's brave Internetz gelangen können (in diesem Szenario ist tatsächlich das böse Internet brav. relativ gesehen).
    Also wirst du irgendeinen Mechanismus dafür brauchen.
    Die einfachste Methode wäre Masquerading (Forwarding).


    Good luck!


    Bezeichnend finde ich den Satz "Die über Yast konfigurierbare SuseFirewall2 erzeugt eine undurchsichtige Vielzahl von Filterregeln...." aus deinem Link.
    Eine gute Gelegenheit mal drüber nachzudenken, warum soviele Regeln erstellt wrden. Vielleicht sind die ja gar nicht so unwichtig, oder sind sogar nötig...


    Und natürlich kann man ausgehende Verbindung ebenfalls blocken. Das will man aber eigentlich nur in Hochsicherheitsnetzwerken mit Accounting.


    Wenn man dir konkreter helfen soll, wäre es sinnvoll, du würdest deine Topologie präzise beschreiben UND __genau__ den Zweck und das Ziel beschreiben, was du damit erreichen möchtest.
    Einfach irgendein Script aus dem bösen Netz verbasteln, ist niemals eine wirklich gute Idee.
    Bei der Firewall erst recht nicht.

  • Ich dachte mit den ersten 10-15 Zeilen wird der Server erst mal 100% dicht gemacht,
    und dann nur das geöffnet was man braucht wie Apache Extern und SSH Intern.


    Es sollte ein Webserver werden, der an eine öffentliche IP hängt.


    Der Server wird über eine 2. Netzwerkkarte im 192.168 Netz administriert.


    Also nur Apache soll von außen erreichbar sein, Postfix mailt nur raus, empfängt aber nichts. Sowas wie FTP und Masquerading soll es nicht geben.


    Die Typs von "Anfänger- & Startprobleme"
    beliefen sich alle auf einer Grafischen Oberfläche wie KDE, ich habe aber nur eine Server Installation auf Shell ebenen, oder habe ich was übersehen?



    Früher unter Suse 13 war es echt viel einfacher unter Yast, da konnte man für jede Netzwerkkartebestimmen was sie macht.


    Oder reicht es die normale Firewall on zu lassen und Apache per Regel durchzulassen?
    Mein Gedanke war Firewall off und das Script beim Reboot starten.

    2 Mal editiert, zuletzt von neptun ()

    Für den Inhalt des Beitrages 131541 haftet ausdrücklich der jeweilige Autor: neptun

  • Der Server steht mit 10 anderen Servern im Serverraum bei uns im Keller, die anderen Server sind alle noch mit suse13 und sollen langsam erneuert werden.
    Wir haben eine Standleitung, dort hängen alle Server dran.
    Der neue Server hängt auch noch an unseren 192.168 lan.


    Aber Server hängt jetzt natürlich noch nicht an die Standleitung, das passiert erst wenn der abgesichert ist.


    Ich werde mich wohl mal mit FirewallD auseinander setzen müssen, aber das ist ja auch alles Script gesteuert.

    Einmal editiert, zuletzt von neptun ()

    Für den Inhalt des Beitrages 131552 haftet ausdrücklich der jeweilige Autor: neptun

  • Ich denke, du solltest es einfach lassen Server zu administrieren.


    Wenn du als "Profi" weder im Stande bist die Topologie korrekt zu beschreiben, noch irgendeinen Plan von Firewalls und wohl kaum einen Plan von Linux, aber ganz sicher überhaupt keinen Plan von Netzwerken hast
    wird das im Desaster enden.


    Was meinst du mit "Standleitung"? Tatsächlich eine x25 Leitung?
    Und wenn ihr eine Standleitung habt, wozu dann eine Firewall?
    Das macht jetzt überhaupt keinen Sinn mehr.


    Besorgt euch jemanden, der sich damit auskennt.


    Es ist außerdem völlig egal, ob du eine Firewall mittels Scripte, zu Fuß oder mit irgendwelchen Tools konfigurierst.
    Die Rulechains müssen passen.
    Alles andere ist Zucker drüber.

  • Standleitung? Das interessiert mich auch, wie man so etwas kostengünstig umsetzt. Habt ihr eine E1, E3 oder STM1? Wie hoch sind da die Mietkosten? Oder hältst du ein Telekom-Angebot mit fester IP für eine Standleitung? Erzähl mal, was du da für ein Paket hast und ob das bezahlbar ist.