Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Both sides previous revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
bs:linux:firewall [2012/07/09 18:43] mhoffmann |
bs:linux:firewall [2012/10/11 10:23] (aktuell) |
||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
===== Voraussetzung ===== | ===== Voraussetzung ===== | ||
- | * Installiertes Paket ''iptables2'' | + | * Installiertes Paket ''iptables2'' (Bei Ubuntu schon installiert) |
* Liste aller zu öffnenden Ports | * Liste aller zu öffnenden Ports | ||
* Bei vielen Interfaces am besten eine Zeichnung des Netzwerks, sonst kann es schnell unübersichtlich werden | * Bei vielen Interfaces am besten eine Zeichnung des Netzwerks, sonst kann es schnell unübersichtlich werden | ||
Zeile 121: | Zeile 121: | ||
==== Rules - Spezifische Regeln für Protokolle und Ports ==== | ==== Rules - Spezifische Regeln für Protokolle und Ports ==== | ||
+ | Diese Datei ist die wichtigste in der Firwall Konfiguration. In ihr werden Port- und Protokollspezifische Regelungen für den eingehenden und ausgehenden Datenverkehr festgelegt. | ||
+ | Das Schema ist dabei immer gleich. [Aktion][Quelle][Ziel][Protokoll][Port]... | ||
+ | Man kann also sehr detailliert angeben, wie verfahren werden soll. | ||
+ | Die Beispieldatei der Shorwall Konfig sieht so aus: | ||
# | # | ||
# Shorewall version 4.0 - Sample Rules File for three-interface configuration. | # Shorewall version 4.0 - Sample Rules File for three-interface configuration. | ||
Zeile 169: | Zeile 172: | ||
#Ping(ACCEPT) net dmz | #Ping(ACCEPT) net dmz | ||
#Ping(ACCEPT) net loc | #Ping(ACCEPT) net loc | ||
+ | |||
+ | === Beispiel 1 === | ||
+ | ''DNS(ACCEPT) $FW net'' -> Diese Regel besagt, dass alle Anfragen von DNS-Diensten von der Firewall ($FW) and das Internet (net) zugelassen werden sollen | ||
+ | |||
+ | === Beispiel 2 === | ||
+ | ''SSH(ACCEPT) net $FW'' -> Der SSH Zugriff aus dem Internet auf die Firewall wird gestattet. | ||
+ | |||
+ | === Beispiel 3 === | ||
+ | Will man für ein hinter der Firewall liegendes lokales Netzwerk Beispielsweise den SMTP-Port freigeben dann kann man das folgendermaßen machen: | ||
+ | |||
+ | ''ACCEPT net loc:192.168.178.202 tcp 25'' -> Der Zugriff vom Internet auf die IP-Adresse 192.168.178.202 in der Zone ''loc'' wird auf Port 25 erlaubt. | ||
+ | |||
+ | Enstprechend diesem Schema können sehr einfach Regeln für die Firewall eingerichtet werden. | ||
+ | Die gesamte Konfigurationsmöglichkeiten der Rules findet man [[http://shorewall.net/manpages/shorewall-rules.html|hier]]. | ||
+ | |||
+ | |||
+ | ==== Make und Start ==== | ||
+ | Damit die Firewallregeln kompiliert werden können muss die Firewall gestarter werden. | ||
+ | Hierzu muss man zwei Dateien ändern: | ||
+ | - In der Datei **/etc/default/shorewall** muss der Wert von ''startup'' auf **1** gesetzt werden | ||
+ | - In der Datei **/etc/shorewall/shorewall.conf** der Wert von ''STARTUP_ENABLED'' auf **Yes** gesetzt werden und mit ''source shorewall.conf'' neu eingelesen werden. | ||
+ | |||
+ | Danach kann man die Firewallregeln kompilieren in dem man im shorwallverzeichnis ''sudo make'' aufruft. | ||
+ | Nachdem eventuelle Fehler ausgebessert wurden kann die Firewall mit ''sudo service shorewall start'' gestartet werden. | ||
+ | |||
+ | ==== Ändern von Regeln ==== | ||
+ | Ändern man Regeln in der Datei **/etc/shorewall/policy** oder **/etc/shorwall/rules** so kann man diese Regeln einfach mit zwei Befehlen übernehmen | ||
+ | # sudo make | ||
+ | # sudo shorewall refresh | ||
+ | | ||
+ | {{tag>Firewall, iptables}} | ||
+ | | ||
+ | |||
+ | |||
+ | |||
+ | |||
Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.