Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 7. Firewalls | Nach vorne |
Fremde Angriffe von einem LAN fernzuhalten ist ein wichtiger Aspekt der Netzwerksicherheit, wenn nicht der Wichtigste . Die Integrität eines LAN sollte durch die Verwendung strenger Firewall-Regeln vor bösartigen auswärtigen Benutzern geschützt werden. Mit Standard-Richtlinien, die alle eingehenden, ausgehenden und weitergeleiteten Pakete blockieren, ist es allerdings Firewall/Gateway- und internen LAN-Benutzern nicht möglich, miteinander oder extern zu kommunizieren. Damit die Benutzer Netzwerk-bezogene Funktionen ausüben und Netzwerk-Anwendungen verwenden können, müssen die Administratoren bestimmte Ports für die Kommunikation öffnen.
Um Beispielsweise Zugang zu Part 80 an der Firewall zu ermöglichen, fügen Sie die fogende Regel hinzu:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Dies ermöglicht normales Webbrowsing von Websites, die über Port 80 kommunizieren. Um Zugang zu sicheren Websites zu erhalten (wie z.B. https://www.example.com/), müssen Sie auch Port 443 öffnen:
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT |
Es mag Zeiten geben, in denen Sie einen Zugang zum LAN von außerhalb des LAN herstellen wollen. Für einen verschlüsselten Zugang von außen können Sie sichere Services wie SSH oder CIPE verwenden. Administratoren mit PPP-Ressourcen (wie Modem-Banken oder ISP-Massenkonten) können Einwahl-Verbindungen verwenden, um Firewall-Barrieren sicher zu umgehen. Modemverbindungen sind direkte Verbindungen und befinden sich typischerweise hinter Firewalls/Gateways. Für Fernbenutzer mit Breitband-Verbindungen können spezielle Einstellungen gemacht werden. Verwenden Sie die folgenden Regeln, um zum Beispiel einen SSH-Zugang von außen zu ermöglichen:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT |
CIPE Verbindungsanfragen von außen können mit dem folgenden Befehl angenommen werden (ersetzen Sie x mit Ihrer Gerätenummer):
iptables -A INPUT -p udp -i cipcbx -j ACCEPT iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT |
Da CIPE seine eigene virtuelle Einrichtung benützt, die Datagramm (UDP) Pakete überträgt, genehmigt die Regel die cipcb Schnittstelle für eingehende Verbindungen anstelle des Quell- oder Zielports. (Die Ports können jedoch anstelle von Geräteoptionen verwendet werden.) Für Information über die Verwendung von CIPE siehe Kapitel 6.
Es gibt noch andere Dienste, für die Sie Regeln definieren müssen. Siehe Red Hat Enterprise Linux Referenzhandbuch für ausführliche Informationen über die zahlreichen Optionen von IPTables.
Diese Regeln erlauben den Zugang zu regulären und sicheren Diensten an der Firewall. Sie erlauben jedoch keinen Zugang zu diesen Diensten für Netzwerkknoten hinter der Firewall. Sie können NAT mit IPTables Filterregeln verwenden, um LAN-Zugang zu diesen Diensten zu ermöglichen.
Zurück | Zum Anfang | Nach vorne |
Verwendung von IPTables | Nach oben | FORWARD und NAT Regeln |