Hallo Marcus, ich fände es in der Tat schön, wenn es eine Musterlösung gäbe, denn ich habe bisher auch mehrere Regeln, und es wäre schön, wenn ich wüsste, was der Musterlösung würdig wäre.
Bsp 1: (aus der Datei /var/ipfire/firewall/config) 15,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,443,externes HTTPS -> ORANGE cleese:443,ON,,,,,,,,,00:00,00:00,ON,Default IP,443,dnat,,,,,second sieht dann im Webinterface so aus: TCP | Alle | Firewall(ROT): 443 -> 172.16.17.2:443 * Da ist ein DNAT drin auf dem roten Interface der Firewall * Idee ist, dass jetzt alle, von außen wie innen auf den WEbserver zugreifen können. Bsp 2: hab ich noch zusätzlich einen apt-cacher am laufen (auf port 3142) 18,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,3142,all may route 3142 to cleese in ORANGE - wg. apt-cacher-ng,,,,,,,,,,00:00,00:00,,AUTO,,dnat,,,,,second oder im Webinterface: TCP | Alle | 172.16.17.2:3142 * kein NAT * an den kommt man nur von innen (rot,orange, grün subnetze, blau, etc.) dran, weil Port 3142 beim Belwuerouter gesperrt ist. Bsp 3: Der Owncloud-server (alle meine rechner in Orange) brauchen ein LDAP loch zum Musterlösungsserver: 20,ACCEPT,FORWARDFW,ON,std_net_src,ORANGE,tgt_addr,10.16.1.1/32,,,,,ON,,,cust_srvgrp,DMZtoServer,ORANGE may route DMZtoServer ports to server,ON,,,,,,,,,00:00,00:00,,AUTO,,dnat,,,,,second * dabei ist "DMZtoServer" eine custom service group "Dienstgruppe", wo die Ports 53 (DNS) TCP+UDP, 443 TCP, 389(LDAP) TCP+UDP, 636(LDAPS) TCP+UDP und 123 (NTP) UDP drin sind. * Dass hier vermutlich nicht alle Ports nötig sind und auch nicht, dass es für komplett "ORANGE" geöffnet wird, ist vermutlich das größte Sicherheitsproblem, dass ich mir ausmalen kann. Fazit: Was sollen wir als Musterlösung ins Handbuch schreiben? Grüße, Tobias TCP,UDP | ORANGE | 10.16.1.1:DMZtoServer Am 10.05.2016 um 07:26 schrieb Marcus Numrich: > Hallo Jörg, > > nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch > gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P > Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend > sonst niemand hier - wieso? Wir sollten doch irgendwie alle > musterlösungsmäßig unterwegs sein... > > Ein Sicherheitsproblem ist die Regel ja nicht, oder? > > Viele Grüße, > > Marcus > > > Am 09.05.2016 um 10:56 schrieb Jörg Richter: >> >> Hallo Marcus, >> >> >> es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy >> fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage >> vom IPFire aus - und dann natürlich vom orangen Interface. >> >> >> Viele Grüße >> >> >> Jörg Richter >> >> >>> Marcus Numrich <[email protected]> hat am 9. Mai 2016 >>> um 09:12 geschrieben: >>> >>> Hallo zusammen, >>> >>> ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben >>> hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P >>> >>> Also, die Regel lautet: >>> >>> TCP | Interface Orange | 172.16.17.1:80 >>> >>> Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln >>> sind, soweit ich sehe, nicht nötig. >>> >>> Gibt es da ein Sicherheits-Problem (Ich sehe keins)? >>> >>> Viele Grüße, >>> >>> Marcus _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
