J
jdoom
Grünschnabel
Hi,
fuer diesen Theard entschuldige ich mich im vorraus. Ich weis, dass es bestimmte Sachen gibt die man einfach wissen muss wenn man mit Linux/Unix arbeitet, aber momentan seh ich vor lauter Baeumen den Wald nicht mehr. Hinzu kommt noch, dass die Aufgabe die ich zu erfuellen habe zeitkritisch ist und ich daher nicht laenger nach How Tos suchen kann, deswegen habe ich folgende Frage:
Ich habe die Aufgabe folgendes zu realisieren:
Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet
Der Sinn soll sein, dass Firewall 1 nur Connections von den Clients aus zulaesst... aber keiner von aussen auf die Clients zugreifen kann. Also, dass die Clients surfen koennen FTP machen koennen emails usw.
Nun weis ich nicht wie ich Firewall 1 einstellen soll...
Meine Idee war:
Das jetzt unten nur fuer Port80 dann halt die ganzen andern dadran. Das uebliche Zeugs zum Schutz gegen DoS Angriffe usw. sowie Aktivierung von ip_forwarding hab ich alles im Kopf (es wuerd sonst zu lang werden). Ich bin mir fast sicher, dass es so gehen kann...
PS: Ich weis: Ihr habt sowas schon 1millionen mal gehoert usw. und es haengt euch langsam zum Hals raus. Aber es ist fuer mich ziemlich wichtig eine Bestaetigung oder Verbessrungsvorschlaege zu bekommen.
Gruss,
jdoom
fuer diesen Theard entschuldige ich mich im vorraus. Ich weis, dass es bestimmte Sachen gibt die man einfach wissen muss wenn man mit Linux/Unix arbeitet, aber momentan seh ich vor lauter Baeumen den Wald nicht mehr. Hinzu kommt noch, dass die Aufgabe die ich zu erfuellen habe zeitkritisch ist und ich daher nicht laenger nach How Tos suchen kann, deswegen habe ich folgende Frage:
Ich habe die Aufgabe folgendes zu realisieren:
Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet
Der Sinn soll sein, dass Firewall 1 nur Connections von den Clients aus zulaesst... aber keiner von aussen auf die Clients zugreifen kann. Also, dass die Clients surfen koennen FTP machen koennen emails usw.
Nun weis ich nicht wie ich Firewall 1 einstellen soll...
Meine Idee war:
Code:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -t nat -A POSTROUTING -o <netwerkdevice-zum-proxy> -j MASQUERADE
iptables -N LOGREJECT
iptables -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
--log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
iptables -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i <netzwerk-device-zum-terminalserver> -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -j LOGREJECT
iptables -A FORWARD -p tcp -j LOGREJECT
iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i <netzwerk-device-zum-terminalserver> -p tcp --dport 80 \
-j DNAT --to-destination <ip-des-terminalservers>
Das jetzt unten nur fuer Port80 dann halt die ganzen andern dadran. Das uebliche Zeugs zum Schutz gegen DoS Angriffe usw. sowie Aktivierung von ip_forwarding hab ich alles im Kopf (es wuerd sonst zu lang werden). Ich bin mir fast sicher, dass es so gehen kann...
PS: Ich weis: Ihr habt sowas schon 1millionen mal gehoert usw. und es haengt euch langsam zum Hals raus. Aber es ist fuer mich ziemlich wichtig eine Bestaetigung oder Verbessrungsvorschlaege zu bekommen.
Gruss,
jdoom
Zuletzt bearbeitet: