Suse 9.2 als Firewall

Computer: Software & Programmierung UNIX & Linux
#1

Hallo liebe Experten,

hab eine ziemlich spezielle Frage. Ich muss einen Rechner mit Suse 9.2 professional als Firewall konfigurieren. Bis her hab ich mit Linux noch nie zu tun.

Meine Frage, welche Pakete benötige ich bzw. welche Befehle brauche ich? Wenn ich ein paar Tipps von euch kriege, kann ich mir den Rest sicher aus den Documentationen herauslesen.

Für die Konfiguration für DSL finde ich reichlich. Mein Rechner hat aber zwei Netzwerkkarten, eine Interne und eine Externe. Ich komme mit dem Suse-Rechner bereits ins Internet und kann auch Intern alles anpingen. Ich komme aber nicht von dem internen Netzwerk ins Internet.

Ich hoffe Ihr last mich nicht hängen

Gruß
Mike

#2

Dabei ist alles, Firewall-CD
Hallo Michael,

bei 9.2 Professional ist alles dabei was du brauchst. ABER: Genau dazu gibt es von SuSE eine Firewall on CD Version, die fast gebrauchsfertig vorkonfiguriert ist.

CD einlegen, davon starten, einrichten, auf neue CD brennen. fertig.

Wenn Gerät kaputt, gehackt, uvam.

CD einlegen, davon starten, fertig.

Wäre mein Tipp.

Gruß

Stefan

#3

Hallo

Ich komme mit dem Suse-Rechner bereits ins Internet
und kann auch Intern alles anpingen. Ich komme aber nicht von
dem internen Netzwerk ins Internet.

Du Installierst „SuSEFirewall2“ und das Yast-Modul
für SuSEFirewall2.

Dann gehst Du in Yast auf „Security“ (o.ä.) und
schaltest den Firewall ein. Dort musst Du festlegen,
welches Deine innere und äussere Netzkarte ist.

Bei „Firewall Features“ sagst Du
„Forward traffic and Masquerade“ und evtl.
„Allow Traceroute“ (egal). Dann fertigmachen.

Überprüfe bei „Network Devices“ „Network Card“
ob die innere Netzkarte auf „IP Forward“ geschaltet
ist. Dieser Netzkarte musst Du auch eine Nummer
zuweisen (ip), die Du auf den anderen (inneren)
Rechnern als Gateway/Router einträgst. Dann wird es gehen.

Grüße

CMБ

#4

Hallo CMБ,

erst mal Danke für die schnelle Antwort aber genau dass habe ich gemacht, das steht so ja auch in der Dokumentation.

Die Netzwerkkarten sind richtig konfiguriert, SuSEFirewall2 läuft,
das habe ich mit rcSuSEFirewall2 status getestet.

Unter Sicherheit und Benutzer->Firewall sind sowohl externe als auch interne Netzwerkkarte richtig eingetragen. Datenweiterleitung und Masquerading sind aktiv. Zusätzlich ist Traceroute erlaubt.

Sowohl die externe, als auch die interne Netzwerkkarten haben feste IP-Adressen, auch die sind richtig. IP-Weiterleitung ist bei beiden Karten aktiv. Geht wohl nur für alle denn wenn ich das Häkchen bei einer rausnehme, ist es auch bei der anderen weg.

Beim internen Rechner habe ich als Gateway die IP der internen Karte eingegeben. Der Versuch ein Internetverbindung zu starten schlägt aber fehl. Auch wenn ich direkt die IP-Adresse eines Internetservers wähle (Sollte DNS nicht funktionieren).

Gurß Mike

#5

Hallo Stefan,

leider habe ich feste Vorgaben, an die ich mich halten muß. Das bestimmt bei mir die Geschäftsleitung. Also bleibt mir nur, Suse Linux professional 9.2 zu nehmen.

Trotzdem Danke. Vielleicht hast Du ja sonst noch Tipps für mich.

Gruß

Mike

#6

Hallo,

hab eine ziemlich spezielle Frage. Ich muss einen Rechner mit
Suse 9.2 professional als Firewall konfigurieren. Bis her hab
ich mit Linux noch nie zu tun.

Auwei. Das ist nicht ohne. Wenn das eine sinnvolle Firewall sein soll und nicht so ein Placebo wie die unter Windows üblichen „Personal Firewalls“, dann ist als allererstes Einarbeitung gefragt.

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.h…

Meine Frage, welche Pakete benötige ich bzw. welche Befehle
brauche ich?

Das sollte nicht die erste Frage, sondern die vorletzte sein.

Du wirst iptables installieren müssen, weiter vermutlich nichts. (Genaugenommen: der Rest sollte über Dependencies nachgeholt werden)

Wenn ich ein paar Tipps von euch kriege, kann ich
mir den Rest sicher aus den Documentationen herauslesen.

Mein Tip lautet http://www.linuxguruz.com/iptables/howto/

Das ist das iptables Howto. Lies es, lies es nochmal und lies es nochmal. Dann kannst Du mal an einem Test-Rechner probieren, erste Schritte zu machen.

Irgendwann später bist Du dann bereit, Dein Konzept (wie lautet es noch) umzusetzen.

Für die Konfiguration für DSL finde ich reichlich.

pppoe brauchst Du offensichtlich auch noch …

Mein
Rechner hat aber zwei Netzwerkkarten, eine Interne und eine
Externe. Ich komme mit dem Suse-Rechner bereits ins Internet
und kann auch Intern alles anpingen. Ich komme aber nicht von
dem internen Netzwerk ins Internet.

Das wird auch in dem HOWTO erläutert.

Und ja: vergiss die „SuSE-Firewall“.

Gruß,

Sebastian

#7

Hallo liebe Experten,

Hi,

wen meinst Du?

Ich muss einen Rechner mit Suse 9.2 professional als Firewall
konfigurieren. Bis her hab ich mit Linux noch nie zu tun.

Das macht eigentlich nichts. Wenn Du statisches routing, TCP/IP, content filtering und ganz allgemein das Erstellen von security policies verstanden hast kannst Du das auf jedem der verbreiteten Betriebssysteme umsetzen. (Das stimmt nicht ganz: es gibt ein paar, die sind denkbar ungeeignet dafuer.)

Meine Frage, welche Pakete benötige ich bzw. welche Befehle
brauche ich?

Hm, komische Herangehensweise. Content filtering machst Du mit (z.~B.) squid, den Linux-eigenen Paketfilter (netfilter) bestueckst Du mit iptables, die moderne Art, routing tables zu erstellen ist mit ip (aus dem Paket iproute, iproute2 oder so aehnlich). Was fuer Schutzmasznamen sieht denn Dein Sicherheitskonzept weiter vor?

Wenn ich ein paar Tipps von euch kriege, kann ich
mir den Rest sicher aus den Documentationen herauslesen.

Fuer squid gibt’s Doku auf deren homepage (-> google), fuer netfilter finde ich das unten erwaehnte HowTo von Rusty _sehr_ kompakt, Oskar Andreasson hat da eine wesentlich ausfuehrlichere Dokumentation erstellt: http://iptables-tutorial.frozentux.net/ IP-routing wird im LARTC gut, aber sehr grob erklaert: http://lartc.org/

Vergiss die SuSE-firewall. Man kann die mal ansehen und sich ein paar Ideen davon abgucken, im Grossen und Ganzen bringt es aber, gerade in dem Bereich, nichts, etwas anzuwenden, was man nicht verstanden hat.

HTH,
Gruss vom Frank.

#8

Wie wär’s mit IPCOP?
Ist auch alles fast fertig vorkonfiguriert und kostet meines Wissens nach nichts… Ist auch gut zum einarbeiten :wink:

Ansonsten halt in iptables-Tutorials einarbeiten, wie schon von meinen Vorpostern erwähnt.

Grüsse
schuelsche