Hallo ich möchte gerne mit einer virtuellen Maschine eine Firewall aufbauen. Es handelt sich um Open Suse 11.
Sie soll andere Maschinen schützen und nur bestimmten IPs den Zugriff erlauben.
Hat dafür jemand für mich eine nützliche „Anleitung“ dass mir Schritt für Schritt erklärt wie ich vorgehen muss. (Bin erst Neu im Gebiet Linux).
Oder kann es mir jemand Schritt für Schritt erklären.
Schon mal Danke …
Oder kann es mir jemand Schritt für Schritt erklären.
Das wäre nicht nur Abend-, sondern Wochenfüllend. Abhängig davon, zu welchem Zweck, für welches Sicherheitsniveau und in welchem Umfeld der Aufbau stehen soll, kann das eine sehr komplexe Angelegenheit werden. Diese Punkte solltest du zunächst detailliert beschreiben, damit überhaupt brauchbare Ratschläge gemacht werden können. Eine Firewall, die den Rechner deiner Oma vor dem bösen Internet schützen soll stellt völlig andere Anforderungen als eine, die im Firmenumfeld Angriffen von Aussen wie von Innen abwehren muss.
(Bin erst Neu im Gebiet Linux).
Irrelevant. Wie gut sind deine Netzwerkkenntnisse?
Gruß
Hallo MoZjo,
Hallo ich möchte gerne mit einer virtuellen Maschine eine
Firewall aufbauen. Es handelt sich um Open Suse 11.
Dann fang mal hier an zu lesen:
http://www.mpipks-dresden.mpg.de/~mueller/docs/suse1…
oder fang hier mit den Grundlagen über netfilter/iptables an:
http://www.netfilter.org/documentation/index.html
Viele Grüße
Marvin
Sorry war echt zu wenig Info …
Also es sieht folgendermaßen aus.
Die Firewall sollte ganz einfach gestrickt bleiben.
ICh bin in einer Ausbildung und wir haben einen Server bekommen mit Open Suse 11 darauf sollen wir experimentieren in jegliche Richtung.
Also in jedem Bereich ein bisschen. Jetzt hat der Ausbilder gemeint wäre ganz schick wenn ne Firewall stehen würde. also ich möcht nichts bombensicheres. sowas wie „omis firewall“ könnte es für den anfang sein.
Ich wäre zufrieden wenn ein Rechner über die Firewall ins NEtz könnte und man diesem auch den Zugriff verweigern könnte. also ganz easy … meine erfahrungen sind noch nicht so groß … Habe erst jetzt mit der ausbildung so richtig damit zu tun
danke schon mal
Hallo,
Also in jedem Bereich ein bisschen. Jetzt hat der Ausbilder
gemeint wäre ganz schick wenn ne Firewall stehen würde.
Was ist das denn für ein Ausbilder? Die Spezifikation „wenn ne Firewall stehen würde“ ist vollkommen unbrauchbar.
Du sagst, Du möchtest das über eine virtuelle Maschine realisieren? Was denn für eine? VMWare? Xen? Virtual Box? Was anderes?
Und was soll die Firewall denn wovon trennen?
Gruß
Fritze
Das ist ein top ausbilder .
Klingt komisch ist aber so, da lass ich nichts auf ihn kommen.
Er lässt uns erstmal alleine durchkämpfen wirft uns begriffe vor bzw. oberbegriffe. dann setzten wir uns nach zwei drei wochen zusammen und erarbeiten alles und werden konkreter und bekommen hilfe .
Jedoch sollen wir erstmal, um es leichter zu machen, uns irgendwie per internet und foren schlauer machen und alleine kleine steps gehen.
ICh möchte es mit XEN realisieren da ich damit schon gearbeitet habe.
Gruß
Hallo,
ICh möchte es mit XEN realisieren da ich damit schon
gearbeitet habe.
Es ist vollkommen unmöglich, ohne ein zugehöriges Konzept eine Firewall aufzusetzen. Da ist es einfacher, den Netzwerkstecker zu ziehen.
Also nochmal: Was soll die Firewall wovon trennen?
Gruß
Fritze
Es ist vollkommen unmöglich, ohne ein zugehöriges Konzept eine
Firewall aufzusetzen. Da ist es einfacher, den Netzwerkstecker
zu ziehen.Also nochmal: Was soll die Firewall wovon trennen?
Das soll er doch gerade lernen: Was eine Firewall leisten kann und wofür sie gut ist.
Nicht jeder hat wie ich das Glück, seine erste Firewall als Requisiteur am Theater kennenzulernen, wo diese die Zuschauer von den pyromanischen Einfällen des Regisseurs schützen soll.
Aber als erstes Ziel ist sowas schon gut: Eine virtuelle Maschine aufbauen, auf dieser netfilter/iptables (wie von Marvin bereits genannt) einrichten, und dann diese Maschine vom Netz abschneiden.
Im zweiten Schritt dieser Maschine den Zugang zum Internet über Port 80 erlauben.
Im nächsten Schritt auf dieser Maschine einen Proxy (z. B. tinyproxy) einrichten und einer dritten Maschine den Zugang zum Internet verbieten - solange er nicht über diesen Proxy geht.
Lieber Fritz, es ist tatsächlich ein komplexes Thema, an das man Laien besser gar nicht erst ranlässt. Aber gib wenigstens dem Nachwuchs ein paar mehr Hints, sonst werden wir als gekrümmte Neunzigjährige noch an den Schaltstellen der Firewalls stehen müssen und die Muttis verhungern im Altersstift.
Gruß
@ herrmann
Vielen Dank für die Tipps …
Damit kann ich mir schon eher ein Bild machen über die ganze Sache …
Bin jedoch auch für weitere Tipps dankbar … 
Gruß
Als Einstieg würde ich yast2 verwenden (das ist die Grafik-Version des Konfigurationstools von openSUSE).
Unter „Sicherheit und Benutzer“ findest Du den Menüpunkt „Firewall“. Vieles ist selbst erklärend.
Wenn Du die Firewall verwenden willst, um den Server selbst abzuschotten, ist alles, was über die Netzwerkschnittstelle (wahrscheinlich „eth0“) läuft in der „Externen Zone“ (nur der Rechner selbst ist „Intern“). Also stellst Du in „Schnittstellen“ für eth0 (oder, wie deine Netzwerkkarte heißt) „Externe Zone“ ein. Die „Externe Zone“ ist die „gefährliche“ Zone, vor der Du den Rechner schützen musst.
Zusätzliche Zonen sind dann sinnvoll, wenn Du mehrere Netzwerkschnittstellen hast. Typische Zonen sind die „Interne Zone“, der man vertraut und aus der ungeschützt zugegriffen werden kann und die „Entmilitarisierte Zone“, eine dritte Zone, auf die man sowohl aus der „externen“, wie auch aus der „internen“ Zone nur geschützt über die Firewall zugreifen kann.
Aber nun zur Konfiguration des einfachen Falles mit nur einer „Externen Zone“. Im Menüpunkt „Erlaubte Dienste“ stellst Du ein, mit welchen Diensten (gemeint sind ip-ports) Du vom Netzwerk aus auf den Server zugreifen darfst, nachdem die Firewall gestartet ist. Im Menü „zu erlaubender Dienst“ wählst Du z.B. „Secure Shell Server“ aus und klickst auf „Hinzufügen“. Dann kannst Du per ssh (port 22) auf den Server zugreifen. Wenn Du danach mit „Weiter“ die Konfiguration speicherst und die Firewall startest, kannst Du nur mehr per SSH auf Deinen Server zugreifen. Das gilt natürlich nicht für die Konsole des Servers selbst, auf der Du arbeitest, sondern für Zugriffe aus dem Netzwerk. „Telnet“, „pop“, „http“ gehen alle nicht.
Auf diese Weise kannst Du gezielt die Dienste freigeben, die Du benötigst.
„Masquerading“ ist das, was bei Windows die „ip-Weiterleitung“ ist. Das ist nur für Router gedacht, die zwei echte Netzwerkkarten haben (Wenn Du z.B. einen Internet-Anschluss auf 10 Rechner in Deinem Netzwerk verteilen willst). Für Deine Teststellung scheint es mir nicht sinnvoll zu sein.
„Broadcast“ habe ich noch nicht benötigt, ebensowenig IPsec (das wird für VPNs benötigt)
„Individuelle Regeln“ sind die Spielwiese für alles Andere, also auch, um Deinem Server den Zugriff nach außen zu verbieten. Oder um gezielt nur einem bestimmten Rechner den SSH-Zugriff zu erlauben.
Viel Spaß beim Experimentieren!
Hey cool … das hilft mir echt weiter die Erklärungen dazu … vielen Dank …