Firewall mit Iptables mit 3 Netzwerkinterfaces

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
zimon
Beiträge: 181
Registriert: 16.01.2003 17:50:53
Wohnort: Schweiz

Firewall mit Iptables mit 3 Netzwerkinterfaces

Beitrag von zimon » 06.07.2004 09:58:25

Hallo zusammen!

Habe aus Sicherheitsgründen, da ich ein Wlan betreibe, eine 3. Netzwerkkarte in meinen Linuxserver eingebaut. Mein Server sieht nun wie folgt aus:

Schnittstelle 1: WAN (über diese Schnittstelle soll jeder in Internet kommen)
Schnittstelle 2: LAN1 (192.168.181.0 / 255.255.255.0) Nur Server, quasi eine Art DMZ
Schnittstelle 3: LAN2 (192.168.182.0 / 255.255.255.0) WLAN

Ist das so von der Ip-Vergabe her sinnvoll? Ich hab jetzt mit Iptables mal den Zugriff von LAN2 ins LAN1 komplett gesperrt (iptables -I FORWARD -i eth1 -d 192.168.182.0/24 -j DROP).

Ziel sollte jedoch sein, dass authorisierte Clients (auf Grund der MAC-Adr.) ins LAN1 zugreifen dürfen, allerdings nur auf einen bestimmten Port (137-139) des Fileservers (Windows). Alle anderen müssen geblockt bleiben. Wichtig ist, dass der Windowsfileserver hinter der Firewall gut geschützt ist, so dass möglichst keine Attacken auf das ungeschützte Windows System erfolgen können.

Gruss,
Simon
Nach oben
Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 06.07.2004 19:11:15

Hallo!
Ja, die trennung in zwei Subnetze ist sinvoll und nötig :!:
Aber was ist genau dein Problem bei der Umsetzung :?:
Ciao, Hendri
Nach oben
lobo
Beiträge: 180
Registriert: 27.01.2002 21:48:08
Lizenz eigener Beiträge: GNU General Public License

Re: Firewall mit Iptables mit 3 Netzwerkinterfaces

Beitrag von lobo » 06.07.2004 20:57:49

zimon hat geschrieben:...
Ziel sollte jedoch sein, dass authorisierte Clients (auf Grund der MAC-Adr.) ins LAN1 zugreifen dürfen
...
Du kannst die Echtheit eines Clients nicht über die MAC oder die IP feststellen, deswegen würde ich das nicht als Filterkriterium hernehmen, um den Zugriff auf das LAN1 zu regeln.
Eine MAC oder IP Adresse kann ganz einfach per ifconfig geändert werden.

Ich würde da eher OpenSWAN installieren und den Zugriff per Zertifikate regeln. Dann dürfte jeder, der ein gültiges Zertifikat hat, auf LAN1 über den VPN Tunnel zugreifen.
Wenn das etwas zu Overkill ist, dann kannst du ja auch einfach mit einem Shared-Secret arbeiten, wo beide Seiten einer Passphrase vertrauen. Bei der Authentifizierung mit einem Passwort, hängt die Sicherheit natürlich von der Stärke des Passworts ab.

Demnächst werde ich das in dieser Weise realisieren, so wie ich es beschrieben habe. Ich könnte dann auch die Config-Files als Hilfe beisteuern, wobei es hier schon eine gute Anleitung gibt.

Gruss

Jochen
Nach oben
zimon
Beiträge: 181
Registriert: 16.01.2003 17:50:53
Wohnort: Schweiz

Beitrag von zimon » 07.07.2004 08:44:58

stimmt, die authentifizierung über MAC - Adr. ist wirklich nicht sehr sinnvoll. Authentifizierung per VPN wär wirklich das beste.

Werde mich etwas schlau machen zu OpenSWAN. Ist das ein VPN - Server Dienst im klassischen Sinne?

Wäre froh, wenn mir jemand einen Link oder ne How-to angeben könnte...

Danke für eure guten Ideen!!!

Simon
Nach oben
Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 07.07.2004 18:59:08

Ja, klassisch im Sinne von IPSEC...
Zu erwähnen währe noch OpenVPN das auch auf Zertifikaten basierend authentifiziert aber nicht IPSEC conform (da TLS/SSL als Unterbau) ist aber darfür einfacher ein zu richten...
Für BSD/LINUX/Solaris/Mac und Windows sind Server und Client verfügbar...
Ciao, Hendri
Nach oben
Antworten

Zurück zu „Netzwerk“