Hallo Marc-Andre, vielen Dank für den Link! Das hat mir schon mal weitergeholfen. Nach etwas Recherche habe ich gelernt, dass die Werte in den Klammern keine Portfreigaben sind, sondern es sich um Paket- und Byte-Zähler handelt. Diese werden von iptables-save mit abgespeichert, sind aber vermutlich irrelevant. Entsprechend sind die Werte in der Münster-Anleitung auch auf [0:0] gesetzt. D.h., es gibt überhaupt keine Einschränkungen bei den Ports - weder in der Konfiguration aus Münster noch in der Konfiguration aus Hamburg. Jetzt frage ich mich natürlich, weshalb ich meinen Mailanbieter aus dem Freifunknetz heraus nicht über IMAP erreichen kann. Vielleicht liegt es wie in eurem Fall am VPN-Anbieter? Werde ich bei Gelegenheit testen.
LG, Bernd -----Ursprüngliche Nachricht----- Von: WLANtalk [mailto:[email protected]] Im Auftrag von Marc-Andre Alpers Gesendet: Samstag, 16. August 2014 11:06 An: [email protected] Betreff: Re: [WLANtalk] Optimale Firewall-Konfiguration für Gateways? Moin! Ich kenne mich zwar mit iptables auch nicht so aus. Ich habe mich an der Anleitung von Freifunk Münster gehalten, die haben ihre Rules anders gestaltet. Deren Setup findest du hier: https://freifunk-muenster.de/wiki/doku.php?id=technik:gateway Ob es überhaupt sinnvoll ist was einzuschränken, weiß ich nicht. Die einzige Einschränkung die es gibt kommt durch unseren VPN Anbieter. Dieser blockt Port 25 um Spam zu verhindern. Nutzer müssen für SMTP auf Port 465 mit SSL (T-Online) oder 587 mit TLS ausweichen. Am 16.08.2014 um 10:07 schrieb Bernd Kalbfuss-Zimmermann: > Hallo Freifunker, > > > > seit längerem quält mich ein Thema, von dem ich leider allzu wenig verstehe: > Die Firewall-Konfiguration auf unseren Gateways. Wir nutzen hier im > Dreiländereck (CH-DE-FR) Gluon. Vor kurzem habe ich das erste Gateway > für unsere junge Freifunk-Gemeinde eingerichtet. Die > Firewall-Konfiguration habe ich dabei von den Hamburgern > <http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> übernommen: > > > > # Generated by iptables-save v1.4.14 on Sun Mar 24 14:14:50 2013 > > *filter > > :INPUT ACCEPT [273:40363] > > :FORWARD ACCEPT [0:0] > > :OUTPUT ACCEPT [194:28568] > > COMMIT > > # Completed on Mon Mar 25 19:41:40 2013 > > # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013 > > *mangle > > :PREROUTING ACCEPT [286:41734] > > :INPUT ACCEPT [273:40363] > > :FORWARD ACCEPT [0:0] > > :OUTPUT ACCEPT [194:28568] > > :POSTROUTING ACCEPT [194:28568] > > -A PREROUTING -i br-ffhh -j MARK --set-xmark 0x1/0xffffffff > > COMMIT > > # Completed on Mon Mar 25 19:41:40 2013 > > # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013 > > *nat > > :PREROUTING ACCEPT [15:1459] > > :INPUT ACCEPT [2:88] > > :OUTPUT ACCEPT [1:74] > > :POSTROUTING ACCEPT [1:74] > > -A POSTROUTING -o mullvad -j MASQUERADE > > COMMIT > > > > Wenn ich das richtig verstehe, dann ist für den ausgehenden > Internetverkehr primär die Sektion *nat verantwortlich, welche auch > die striktesten Portbegrenzungen setzt. Woher die Bereiche kommen ist mir > jedoch nicht klar. > Auch die Hamburger schweigen sich hierzu leider aus. So habe ich z.B. > schon festgestellt, dass der IMAP-Port 143 außerhalb des freigegebenen > Bereichs liegt :-( > > > > Bevor ich jetzt anfange, willkürlich an den Freigaben herumzuschrauben > möchte ich fragen, ob sich schon mal jemand intensiv mit diesem Thema > auseinandergesetzt hat. Was sollte die Firewall alles unterbinden? > Welche Dienste auf welchen Ports sollten hingegen verfügbar gemacht > werden? Für Tipps und Anregungen wäre ich dankbar! > > > > LG, > > > > Bernd > > > > _______________________________________________ > WLANtalk mailing list > [email protected] > Abonnement abbestellen? -> > http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net > > Weitere Infos zu den freifunk.net Mailinglisten und zur An- und > Abmeldung unter http://freifunk.net/mailinglisten > -- Mit freundlichen Grüßen Marc-Andre Alpers Verschlüsselte Mails bevorzugt. Mit S/MIME oder PGP KeyID: 0x5EE93193 Wehrt euch gegen Überwachung und Vorratsdatenspeicherung! _______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
