Übersicht
Stichwortsuche
History
Versionen
Kategorien
Alle Artikel
English
SuSE Linux: Versionen ab 6.3
Sie möchten mit SuSE Linux 6.3 Masquerading bzw. Firewalling konfigurieren, finden jedoch das Skript nicht.
Das Skript war Teil des alten Paketes "firewall
".
Die Funktionalität ist jetzt im neuen Paket "firewals
" (Serie
sec
, Sicherheitsrelevante Software) enthalten; früher Serie
n
. Von der Weiterverwendung des alten Paketes wird abgeraten.
Die neue Konfigurationsdatei des neuen Pakets ist
"/etc/rc.firewall
". Die zugehörige Dokumentation finden Sie im
Verzeichnis /usr/doc/packages/firewals
.
Ob SuSEfirewall gestartet werden soll steht in der "/etc/rc.config"
(START_FW=yes/no
).
Installieren Sie das Paket "ipchains" aus der Serie "sec". Ggf. laden Sie das Updatepaket "firewals" für SuSE Linux 6.3 von ftp.suse.com herunter und installieren Sie dieses (Yast: Pakete einspielen).
Beachten Sie bitte unbedingt die Dokumentation unter /usr/doc/packages/firewals/ die in Deutsch und Englisch vorliegt.
Konfiguriert wird die SuSE Paketfilterfirewall in /etc/rc.firewall. Die nachfolgenden Erläuterungen beziehen sich auf /etc/rc.firewall.
BITTE BEACHTEN SIE UNBEDINGT DIE FOLGENDEN HINWEISE:
Durch konfigurieren der folgenden Einstellungen und den Einsatz der SuSEfirewall erreichen Sie keine umfassende Netzwerksicherheit! Es gibt keine Lösung die Sie einfach installieren und damit vor allem Bösen aus dem Netz geschützt sind.
Um die Sicherheit auf ihrem Computer/Server/Netz sicherzustellen müssen sie zusätzlich:
Alle Dienste absichern die sie in Richtung öffentliche Netze (z.B. Internet) anbieten. Sie können dies erreichen, indem Sie Software benutzen, die unter Sicherheitsgesichtspunken entwickelt wurde/wird (z.B. postfix, apop3d, ssh), diese fehlerfrei konfigurieren und beten, dass sie nicht doch noch verdecktet Sicherheitslücken hat. /usr/bin/chroot und eingeschränkte privilegien sind in den meisten Fällen hilfreich wenn es darum geht das Restrisiko nochmals zu vermindern.
Benutzten Sie keine Software aus Quellen denen Sie nicht vertrauen. (Das mündet in die philosophische Frage. Wem vertraue ich, kann ich SuSE oder irgend einem Anderen Softwaredistributor oder Hersteller trauen.
Setzen Sie auf ihren Servern das Paket "harden_suse" ein.
Compilieren Sie Ihren eigenen Kernel mit dem openwall-linux Kernelpatch (früher bekannt als secure-linux patch von Solar Designer).
Überprüfen Sie die sicherheitsrelevanten Komponenten und Konfgurationsparameter ihrer Server.
Wenn Sie diesen Server als Firewall/Bastion-Host für die Verbindung eines lokalen Netzes mit dem Internet einsetzen wollen, dann versuchen Sie alle Dienste über Proxies zu realisieren und lassen Sie das Routing auf dieser Maschine abgeschaltet (Application Level Firewall).
Viel Glück!
Ihr SuSE,
SuSE Security Team
Hilfe bei der Konfiguration
START_FW in /etc/rc.config muss in allen nachfolgenden Scenarien auf "yes" gesettzt werden.
Weitere Einstellungen werden in /etc/rc.firewall gemacht.
Wenn Sie ein Endanwender sind mit Internetzugang ohne zusätzliches Netz sind, dann müssen Sie nur 2), und evtl. 10), 11), 13) und 16) ausfüllen, der Rest ist in Ordnung.
Wenn dieser Server eine Firewall ist, der als Proxy fungieren soll (Application Level Firewall, kein Routing zwischen beiden Netzwerken), oder Sie ein Endanwender sind der mit dem Internet und dem localen Netz verbunden ist, dann setzen Sie ihre Proxies auf und reconfigurieren Sie 2), 3), und evtl. 9), 10), 11), 12), 13), 14) und 16), der Rest ist in Ordnung.
Wenn diser Server eine Firewall ist, die zwischen dem localen Netz und dem Internet routing/masquerading erbringen soll, dann reconfigurieren Sie 2), 3), 4), 6), und evtl. 5), 9), 10), 11), 12), 13), 14), 15) and 16), der Rest ist in Ordnung.
Wenn Sie genau wissen was Sie tun, ändern Sie evtl. 7), 8), 17), 18) und die Expertenoptionen 19), 20), 21) am Ende von /etc/rc.firewall.
Damit ihr Firewall mit Programmen wie z.B. "traceroute" erreichbar ist muß ein wenig getrickst werden. Setzen Sie die folgenden Optionen auf "yes" : 13 (nur UDP), 17 and 18.
Wenn Sie die vollständigen Firewallregeln für ein Interface laden wollen auch wenn das Interface nicht verfügbar ist, konfigurieren Sie eine statische IP-Adresse und Netzmaske (siehe 2) und 3) als Beispiel).
Beachten Sie bitte, daß die Verwendung von Namen für Dienste/Ports vorraussetzt, daß diese in /etc/services eingetragen sind. Es gibt keinen Dienst "dns", richtig heisst es "domain", "email" heisst richtig "smtp" usw.
Wenn sie nur masquerading ohne zusätzliche Paketfilter benutzen wollen, dann ignorieren Sie das Firewallscript und verwenden Sie stattdessen folgende Zeilen (ersetzen Sie "ippp0" durch ihr masquerade/externes Interface):
echo 1 >/proc/sys/net/ipv4/ip_forward
*)ipchains -A forward -j MASQ -i ippp0
Diese Aufrufe sind natürlich flüchtig, tragen Sie sie einfach in /sbin/init.d/boot.local ein, damit Sie nach jedem booten wieder verfügbar sind.
WARNUNG: Eine ungesicherte Linuxworkstation mit Masquerading am Internet ist ein Scheunentor für böse Buben. Setzen Sie deshalb unbedingt das Firewallscript ein.
-
*) in /etc/rc.firewall ist ein technischer Fehler.
Die Zeile
ipchains -A forward -j MASQ -s ippp0
muß in
ipchains -A forward -j MASQ -i ippp0
geaendert werden. Das -s wird durch -i ersetzt.
Siehe auch:
Stichwörter: 63, 6.3, MASQUERADING, FIREWALL, FIREWALS, MASQUERADE
Kategorien:
Firewall
Übersicht
Stichwortsuche
History
Versionen
Kategorien
Alle Artikel
English