Hallo Freifunker,
seit längerem quält mich ein Thema, von dem ich leider allzu wenig verstehe: Die Firewall-Konfiguration auf unseren Gateways. Wir nutzen hier im Dreiländereck (CH-DE-FR) Gluon. Vor kurzem habe ich das erste Gateway für unsere junge Freifunk-Gemeinde eingerichtet. Die Firewall-Konfiguration habe ich dabei von den Hamburgern <http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> übernommen: # Generated by iptables-save v1.4.14 on Sun Mar 24 14:14:50 2013 *filter :INPUT ACCEPT [273:40363] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [194:28568] COMMIT # Completed on Mon Mar 25 19:41:40 2013 # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013 *mangle :PREROUTING ACCEPT [286:41734] :INPUT ACCEPT [273:40363] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [194:28568] :POSTROUTING ACCEPT [194:28568] -A PREROUTING -i br-ffhh -j MARK --set-xmark 0x1/0xffffffff COMMIT # Completed on Mon Mar 25 19:41:40 2013 # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013 *nat :PREROUTING ACCEPT [15:1459] :INPUT ACCEPT [2:88] :OUTPUT ACCEPT [1:74] :POSTROUTING ACCEPT [1:74] -A POSTROUTING -o mullvad -j MASQUERADE COMMIT Wenn ich das richtig verstehe, dann ist für den ausgehenden Internetverkehr primär die Sektion *nat verantwortlich, welche auch die striktesten Portbegrenzungen setzt. Woher die Bereiche kommen ist mir jedoch nicht klar. Auch die Hamburger schweigen sich hierzu leider aus. So habe ich z.B. schon festgestellt, dass der IMAP-Port 143 außerhalb des freigegebenen Bereichs liegt :-( Bevor ich jetzt anfange, willkürlich an den Freigaben herumzuschrauben möchte ich fragen, ob sich schon mal jemand intensiv mit diesem Thema auseinandergesetzt hat. Was sollte die Firewall alles unterbinden? Welche Dienste auf welchen Ports sollten hingegen verfügbar gemacht werden? Für Tipps und Anregungen wäre ich dankbar! LG, Bernd
_______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
