PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Proxy mit Firewall



jdoom
28.11.2006, 12:08
Hi,

fuer diesen Theard entschuldige ich mich im vorraus. Ich weis, dass es bestimmte Sachen gibt die man einfach wissen muss wenn man mit Linux/Unix arbeitet, aber momentan seh ich vor lauter Baeumen den Wald nicht mehr. Hinzu kommt noch, dass die Aufgabe die ich zu erfuellen habe zeitkritisch ist und ich daher nicht laenger nach How Tos suchen kann, deswegen habe ich folgende Frage:

Ich habe die Aufgabe folgendes zu realisieren:

Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet

Der Sinn soll sein, dass Firewall 1 nur Connections von den Clients aus zulaesst... aber keiner von aussen auf die Clients zugreifen kann. Also, dass die Clients surfen koennen FTP machen koennen emails usw.

Nun weis ich nicht wie ich Firewall 1 einstellen soll...

Meine Idee war:


iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o <netwerkdevice-zum-proxy> -j MASQUERADE

iptables -N LOGREJECT

iptables -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
--log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options

iptables -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i <netzwerk-device-zum-terminalserver> -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -j LOGREJECT
iptables -A FORWARD -p tcp -j LOGREJECT

iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -i <netzwerk-device-zum-terminalserver> -p tcp --dport 80 \
-j DNAT --to-destination <ip-des-terminalservers>


Das jetzt unten nur fuer Port80 dann halt die ganzen andern dadran. Das uebliche Zeugs zum Schutz gegen DoS Angriffe usw. sowie Aktivierung von ip_forwarding hab ich alles im Kopf (es wuerd sonst zu lang werden). Ich bin mir fast sicher, dass es so gehen kann...

PS: Ich weis: Ihr habt sowas schon 1millionen mal gehoert usw. und es haengt euch langsam zum Hals raus. Aber es ist fuer mich ziemlich wichtig eine Bestaetigung oder Verbessrungsvorschlaege zu bekommen.

Gruss,
jdoom

silgi
10.12.2006, 12:16
Moin.
Wieso:
Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet
Und nicht:
Clients ---> Proxy/Firewall(Definiert was rein und raus soll) ---> Firebox-Appliance(Lässt alles raus aber nur ausgewählte Ports rein) ---> Internet

So läuft es bei uns in der Firma.

jdoom
04.01.2007, 18:08
Jo, man kann den Paketfilter (also firewall1) auch direkt auf den proxy tun.