Firewall mit besonderen Ansprüchen

[Nobody]

Hallo zusammen,

ich sucher schon seit längerer Zeit eine Firewall.

Ich habe ein LAN und einen Server (W2K). Nun möchte ich eine Firewall auf dem Server, die mit mehreren NW-Karten umgehen kann.

Um getrennte Rules für LAN und WAN zu defineren.

Tiny, Outpost und ZoneAlarm hab ich getestet. Haben mir aber weniger gefallen.

Zu wenige Einstellmöglichkeiten.

Checkpoint in der Firma lässt sich super bedienen. Welcher Port wird von wo gedropt. Gutes Logging. Remote-Steuerung vom Client aus.

Und nach der Installation war der Firewall offen.

Die 3 anderen liefen immer so ab, installieren, Neustart, Monitor tragen. Da der Server nur remote steuerbar ist

Und bevor ich das nächste mal den Monitor durch Haus trage, sollte es für die richtige FW sein.

Muss auch nicht kostenlos sein, aber auch keine 6.000$ wie FW-1 kosten.

Vielleicht sollte ich mal fragen, wenn wir unseren FW austauschen, vielleicht kann die alte Lizens ja weiterwandern, hach *träum

CU Nobby

[FALc]

Hallo,

Linux wäre die Lösung!

- iptables

[Nobody]

Linux ist keine Lösung, weil der Server W2K ist.

Es ist auch kein FirmenLAN, sondern privat.

Die Desktopfirewalls sind meiner Erfahrung nach etwa so

RULE Application/manchmal Port DENY In/Out.

Irgendwie muss man doch sagen können , Port VNC(weiss jetzt nicht welcher)

Richtung LAN in beide Richtungen und Richtung Internet aber nicht.

Aber bei Desktopfirewalls heißt Out, vom Rechner weg (Bei single-PC ist das ja ausreichend), aber wie mache ich das dem Server klar, von wo er es passieren lassen soll, und von wo er es droppen soll.

z.B. Nachrichtendienst, wollte ich von aussen blockieren aber intern erlauben.

Irgendwie wollen die Firewalls das nicht.

@Firma : Wir stellen wegen einem Wort um (Konzernvorschrift). Und da Lizensen in DT. weiterverkauft werden können, muss ich in der Abteilung mal liebäugeln.

[hades]

Original geschrieben von Nobody

z.B. Nachrichtendienst, wollte ich von aussen blockieren aber intern erlauben.

Irgendwie wollen die Firewalls das nicht.

Wenn Du das konfigurieren willst, brauchst Du mehrere Regeln.

Einmal die, die das fuer das interne Netz erlauben und auf der anderen Seite die, die nach draussen blockieren.

Ein Beispiel fuer die Nachrichtendienst-Regeln waere:

Richtung: in Port lokal: 135 Protokoll: TCP+UDP Absenderadressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: out Port remote: 135 Protokoll: TCP+UDP Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: in/out Ports lokal und remote: 137, 138 Protokoll: TCP+UDP Absender- und Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: in Port lokal: 139 Protokoll: TCP+UDP Absenderadressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: out Port remote: 139 Protokoll: TCP+UDP Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: in Port lokal: 445 Protokoll: TCP+UDP Absenderadressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: out Port remote: 445 Protokoll: TCP+UDP Zieladressen: 192.168.0.1-192.168.0.254 Aktion: permit

Richtung: in Port lokal: 135 Protokoll: TCP+UDP Absenderadressen: any Aktion: deny

Richtung: out Port remote: 135 Protokoll: TCP+UDP Zieladressen: any Aktion: deny

Richtung: in/out Ports lokal und remote: 137, 138 Protokoll: TCP+UDP Absender- und Zieladressen: any Aktion: deny

Richtung: in Port lokal: 139 Protokoll: TCP+UDP Absenderadressen: any Aktion: deny

Richtung: out Port remote: 139 Protokoll: TCP+UDP Zieladressen: any Aktion: deny

Richtung: in Port lokal: 445 Protokoll: TCP+UDP Absenderadressen: any Aktion: deny

Richtung: out Port remote: 445 Protokoll: TCP+UDP Zieladressen: any Aktion: deny

[Freaka]

Also ich kann nur http://www.kerio.com/kerio.html empfehlen ist recht gut und einfach. Man kann ein Regelwerk erstellen fast wie bei den richtigen.