Liebe Debianer,
da es nicht um die Firewalleinstellungen beim Router geht, poste ich meine Fragen zu dem Thema mal hier unter der Rubrik Netzwerk.
Ich habe folgende Situation: T-dsl Modem, daran hängt ein Router mit 4 Lan Ports. An diesen Lan Ports hängen die Rechner alpha, delta, gamma sowie ein USB Printserver, an dem mein Hp Laserjet 1300 und mein HP Deskjet 5550 angeschlossen sind.
Da ich bei dem neuen Router TP-Link nicht durch die Firewalleinstellungen durchsteige - beim alten Netgear war das hingegen klasse - dachte ich mir, die Routerfirewall gänzlich auszuschalten und jedem der drei Linuxmaschinen eine individuelle Desktop Firewall zu bauen.
Da ich mich mit iptables und Desktopfirewall gar nicht auskenne, würde ich mich über Tipps, Hinweise zu Anleitungen u.s.w sehr freuen.
Folgendes muss in jedem Fall funktionieren:
a) alle drei PCs müssen untereinander per ssh erreichbar sein
b) alle drei Rechner müssen auf den Printserver und dessen Drucker zugreifen können, die ip ist 192.168.1.100, die Drucker sind auf jedem PC per cups eingerichtet und zwar über die Adressen socket://192.168.1.100:9100 (für den Laserjet) und socket://192.168.1.100:9101 (für den Deskjet)
c) alle drei PCs sollen ins Internet dürfen, POP3 können, ftp können
d) nur ein PC soll darüber hinaus die Ports 4662 bis 4672 freigeschaltet bekommen
Wie bekomme ich das unkompliziert hin, d.h., ohne mir tiefe iptables Kenntnisse verschaffen zu müssen? Unkompliziert bedeutet hier keinesfalls eine Scheu vor der Konsole, ich habe keine Schwierigkeiten damit, mir die Desktopfirewallregeln per nano zusammenzuschreiben.
Beste Grüße,
Holger
individuelle Desktopfirewall bauen, wie?
-
holgerw
- Beiträge: 1489
- Registriert: 13.03.2003 16:19:00
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Marburg
Hi Roland,
danke für den Hinweis. Da werden ja viele Möglichkeiten, sowohl gui als auch konsolenbasiert vorgestellt. Aber das hier ist schon wieder ernüchternd:
Art der Firewall: Desktop PC im Lan mit Verbindung zum Internet
Zugriff ins Internet
http: erlauben/verbieten
ftp: erlauben/verbieten
pop: erlauben/verbieten
u.s.w.
Lan
ssh: erlauben/verbieten
cups: erlauben/verbieten
u.s.w.
Weitere Ports freischalten: Port Nummer/von Port a bis Port z
u.s.w.
Firewall installieren und in Runlevel x einfügen
Fertig.
Nein, so etwas wäre zu schön.
Gibt es nicht etwas, was kein tagelanges Studium von iptables und co. voraussetzt?
Beste Grüße,
Holger
danke für den Hinweis. Da werden ja viele Möglichkeiten, sowohl gui als auch konsolenbasiert vorgestellt. Aber das hier ist schon wieder ernüchternd:
Installiert habe ich mal fwbuilder, aber ich finde da ehrlich gesagt überhaupt nicht durch. Ich verstehe ja, dass iptables ein komplexes Feld sind, aber warum kann man nicht für Anfänger etwas einfaches entwickeln, was erstmal nicht alles ausschöpft, aber womit eine Basisfirewall einfach generiert werden kann? Ich denke an folgendes Muster:Now for the conclusion: we'll give a possible way to decide, using the data gathered above.
If you want a gui tool choosing firestarter, fwbuilder or guarddog is probably wise: these are all popular tools. fwbuilder (for KDE) is by far the most popular. However, it is said it's definately not a tool for newbies. Guarddog (KDE) and firestarter (GNOME) are both equally popular. The codesize for all three is about the same.
Art der Firewall: Desktop PC im Lan mit Verbindung zum Internet
Zugriff ins Internet
http: erlauben/verbieten
ftp: erlauben/verbieten
pop: erlauben/verbieten
u.s.w.
Lan
ssh: erlauben/verbieten
cups: erlauben/verbieten
u.s.w.
Weitere Ports freischalten: Port Nummer/von Port a bis Port z
u.s.w.
Firewall installieren und in Runlevel x einfügen
Fertig.
Nein, so etwas wäre zu schön.
Gibt es nicht etwas, was kein tagelanges Studium von iptables und co. voraussetzt?
Beste Grüße,
Holger
Hi,
eine gerne genutzte Möglichkeit ist jeglichen Verbindugsaufbau von aussen zu unterbinden, von innen ist alles erlaubt. Von aussen duerfen nur Packete einer bereits bestehenden Verbindung passieren.
Das ist wenn ich nicht irre ein 5 Zeiler, "Stateful Firewalling" waere der entsprechende Suchbegriff.
Andererseits, schau dir mal Shorewall an, das habe ich zwar bislang nur auf Mandiva gesehen, aber damit hast du recht schnell Firewall Regeln, so aehnlich wie du's beschreibst erzeugt.
Um's lesen wirst du aber nicht herumkommen. Ganz lesenswert ist finde ich iptables - Die Firewall des Kernels 2.4, zwar nicht mehr ganz frisch, aber gut.
eine gerne genutzte Möglichkeit ist jeglichen Verbindugsaufbau von aussen zu unterbinden, von innen ist alles erlaubt. Von aussen duerfen nur Packete einer bereits bestehenden Verbindung passieren.
Das ist wenn ich nicht irre ein 5 Zeiler, "Stateful Firewalling" waere der entsprechende Suchbegriff.
Andererseits, schau dir mal Shorewall an, das habe ich zwar bislang nur auf Mandiva gesehen, aber damit hast du recht schnell Firewall Regeln, so aehnlich wie du's beschreibst erzeugt.
Um's lesen wirst du aber nicht herumkommen. Ganz lesenswert ist finde ich iptables - Die Firewall des Kernels 2.4, zwar nicht mehr ganz frisch, aber gut.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
-
holgerw
- Beiträge: 1489
- Registriert: 13.03.2003 16:19:00
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Marburg
Hi Roland,roli hat geschrieben:Hi,
eine gerne genutzte Möglichkeit ist jeglichen Verbindugsaufbau von aussen zu unterbinden, von innen ist alles erlaubt. Von aussen duerfen nur Packete einer bereits bestehenden Verbindung passieren.
Das ist wenn ich nicht irre ein 5 Zeiler, "Stateful Firewalling" waere der entsprechende Suchbegriff.
Andererseits, schau dir mal Shorewall an, das habe ich zwar bislang nur auf Mandiva gesehen, aber damit hast du recht schnell Firewall Regeln, so aehnlich wie du's beschreibst erzeugt.
Um's lesen wirst du aber nicht herumkommen. Ganz lesenswert ist finde ich iptables - Die Firewall des Kernels 2.4, zwar nicht mehr ganz frisch, aber gut.
das klingt schon mal gut, danke, ich werde mir Shorewall anschauen. Dass ich etwas dazu lesen muss, ist auch völlig in Ordnung, die Grundfunktionen möchte ich schon gerne verstehen und keine vorgekaute Lösung
Beste Grüße,
Holger