Proxy mit Firewall

Dieses Thema: "Proxy mit Firewall" im Forum "Firewalls" wurde erstellt von jdoom, 28.11.2006.

  1. #1 jdoom, 28.11.2006
    Zuletzt bearbeitet: 28.11.2006
    jdoom

    jdoom Grünschnabel

    Dabei seit:
    31.10.2006
    Beiträge:
    3
    Zustimmungen:
    0
    Hi,

    fuer diesen Theard entschuldige ich mich im vorraus. Ich weis, dass es bestimmte Sachen gibt die man einfach wissen muss wenn man mit Linux/Unix arbeitet, aber momentan seh ich vor lauter Baeumen den Wald nicht mehr. Hinzu kommt noch, dass die Aufgabe die ich zu erfuellen habe zeitkritisch ist und ich daher nicht laenger nach How Tos suchen kann, deswegen habe ich folgende Frage:

    Ich habe die Aufgabe folgendes zu realisieren:

    Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet

    Der Sinn soll sein, dass Firewall 1 nur Connections von den Clients aus zulaesst... aber keiner von aussen auf die Clients zugreifen kann. Also, dass die Clients surfen koennen FTP machen koennen emails usw.

    Nun weis ich nicht wie ich Firewall 1 einstellen soll...

    Meine Idee war:
    Code:
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    
    iptables -t nat -A POSTROUTING -o <netwerkdevice-zum-proxy> -j MASQUERADE
    	
    iptables -N LOGREJECT 
    
    iptables -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
              --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 
    
    iptables -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i <netzwerk-device-zum-terminalserver> -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    iptables -A INPUT -p tcp -j LOGREJECT 
    iptables -A FORWARD -p tcp -j LOGREJECT
    
    iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
    
    iptables -t nat -A PREROUTING -i <netzwerk-device-zum-terminalserver> -p tcp --dport 80 \
    -j DNAT --to-destination <ip-des-terminalservers>
    
    Das jetzt unten nur fuer Port80 dann halt die ganzen andern dadran. Das uebliche Zeugs zum Schutz gegen DoS Angriffe usw. sowie Aktivierung von ip_forwarding hab ich alles im Kopf (es wuerd sonst zu lang werden). Ich bin mir fast sicher, dass es so gehen kann...

    PS: Ich weis: Ihr habt sowas schon 1millionen mal gehoert usw. und es haengt euch langsam zum Hals raus. Aber es ist fuer mich ziemlich wichtig eine Bestaetigung oder Verbessrungsvorschlaege zu bekommen.

    Gruss,
    jdoom
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 silgi, 10.12.2006
    Zuletzt bearbeitet: 10.12.2006
    silgi

    silgi Grünschnabel

    Dabei seit:
    14.11.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Moin.
    Wieso:
    Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet
    Und nicht:
    Clients ---> Proxy/Firewall(Definiert was rein und raus soll) ---> Firebox-Appliance(Lässt alles raus aber nur ausgewählte Ports rein) ---> Internet

    So läuft es bei uns in der Firma.
     
  4. jdoom

    jdoom Grünschnabel

    Dabei seit:
    31.10.2006
    Beiträge:
    3
    Zustimmungen:
    0
    Jo, man kann den Paketfilter (also firewall1) auch direkt auf den proxy tun.
     
Thema:

Proxy mit Firewall

Die Seite wird geladen...

Proxy mit Firewall - Ähnliche Themen

  1. Proxy umgehen und Firewall durchtunneln illegal?

    Proxy umgehen und Firewall durchtunneln illegal?: Hi. Mich würde mal interessieren, ob es illegal ist, eine Firewall und Proxysystem zu durchdringen. Szenario: -Großes LAN/WLAN Netz mit mehreren...
  2. proxy/router/firewall/virenscanner?

    proxy/router/firewall/virenscanner?: Ich will meine nachbarn mit bei mir ans dsl nehmen, - möchte aber eine virenscanner weil sie auch auf meinen samba-server zugriff haben soll -...
  3. Proxy und Firewallserver

    Proxy und Firewallserver: Hallo Ich habe ein Problem und recht wenig wissen. Ich habe eine Workstation Silicon Graphics SGI O2 180 MHz R5000/256MB/4GB/CD über...
  4. Reverse Proxy einrichten für mehrere subdomains über Port 80

    Reverse Proxy einrichten für mehrere subdomains über Port 80: Guten Tag zusammen. Ich habe folgendes Problem. Bei mir laufen 2 Apache-Tomcat Services. Einer auf Port 8880 und einer auf Port 8080. Nun habe...
  5. Kurztipp: Eigenen Proxy in Debian aufsetzen

    Kurztipp: Eigenen Proxy in Debian aufsetzen: Wie man den Web-Proxy Squid auf seinem eigenen Rechner aufsetzt und von außen zugänglich macht, beschreibt dieser Tipp. Weiterlesen...