Veröffentlicht 20. Januar 200322 j Hallo! Ein Kollege und ich ziehen für ein Projekt gerade einen Rechnerals FW und Proxy hoch. Mein Kollege macht den Proxy mit squid und ich benutze für die FW iptables. Folgendes Problem (leider habe ich nur schlechte Bücher vielleicht ist das Prob auch nur trivial, keine Ahnung ;-)) ) : Grundsätzlich gibt es ja nur die Chains INPUT FORWARD OUTPUT. Konfiguriere ich mit yast kommt noch mehr hinzu, mit dem ich momentan noch nichts anfangen kann. Wir wollen jetzt, dass über den Proxy nur Anfragen über den Port 8080 laufen. Wie realisiere ich das am besten? Kann ich die Policy erst mal auf DROP stellen und dann nur den einen Port öffnen? Wie mache ich das und wann brauche ich das FORWARD Chain? Vielen Dank im Vorraus für Eure Antworten Andi
20. Januar 200322 j Originally posted by Flying Andi Hallo! Ist das Projekt für die Schule, zu Lernzwecken oder für einen Kunden ? Bei letzerem würde ich Dir auf jeden Fall dazu raten die Firewall nicht mit YaST zu konfigurieren, Dich krätig mir der Materie auseinanderzusetzen (das ist nämlich nicht etwas was man in ein paar Stunden nebenbei macht) und eventuell auf eine andere Distribution auszuweichen. [...] Grundsätzlich gibt es ja nur die Chains INPUT FORWARD OUTPUT. Konfiguriere ich mit yast kommt noch mehr hinzu, mit dem ich momentan noch nichts anfangen kann. Ja, das sind die 3 Basis Ketten. Innerhalb dieser Ketten können benutzerdefinierte Ketten erstellt werden. Das ist sinnvoll um hinterher noch den Überblick zu behalten und auch besser für die Performance, da nicht immer alle Regeln abgearbeitet werden müssen. Wir wollen jetzt, dass über den Proxy nur Anfragen über den Port 8080 laufen. Wie realisiere ich das am besten? Das ist recht einfach zu lösen. Als erstes konfiguriert Ihr Squid mit transparent Proxy Support und er muss auf Port 8080 lauscht. Danach könnt Ihr mit folgender Regel alles auf den Proxy umleiten was auf den Ziel Port 80 (also http) geht : iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 Kann ich die Policy erst mal auf DROP stellen und dann nur den einen Port öffnen? Wie mache ich das und wann brauche ich das FORWARD Chain? Jupp, du kannst und solltest die Default Policy auf DROP bzw. REJECT stellen. Die Forward Chain benötigst Du, wenn Du kontrollieren willst ob bzw. welche Pakete von einem Netzwerkinterface auf das andere gelangen dürfen. Auf der Netfilter Homepage ist gute Dokumentation dazu vorhanden.
20. Januar 200322 j Hi! Danke für Deine Antwort. Das Projekt ist von der Schule zu Übungszwecken. In der Firma hätte ich gewiss genug Leute, die sich damit auskennen und weiterhelfen. Nur ist die Firma ca 300 km entfernt. Die Bücher von unseren Lehrern sind leider total unübersichtlich, sodass uns nicht immer sofort klar ist, was zu machen ist :-< Distribution ist mir erstmal unwichtig. Hauptsache es funzt und man kann was präsentieren...
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.