Proxy mit Firewall

J

jdoom

Grünschnabel
Hi,

fuer diesen Theard entschuldige ich mich im vorraus. Ich weis, dass es bestimmte Sachen gibt die man einfach wissen muss wenn man mit Linux/Unix arbeitet, aber momentan seh ich vor lauter Baeumen den Wald nicht mehr. Hinzu kommt noch, dass die Aufgabe die ich zu erfuellen habe zeitkritisch ist und ich daher nicht laenger nach How Tos suchen kann, deswegen habe ich folgende Frage:

Ich habe die Aufgabe folgendes zu realisieren:

Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet

Der Sinn soll sein, dass Firewall 1 nur Connections von den Clients aus zulaesst... aber keiner von aussen auf die Clients zugreifen kann. Also, dass die Clients surfen koennen FTP machen koennen emails usw.

Nun weis ich nicht wie ich Firewall 1 einstellen soll...

Meine Idee war:
Code:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o <netwerkdevice-zum-proxy> -j MASQUERADE
	
iptables -N LOGREJECT 

iptables -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
          --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 

iptables -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i <netzwerk-device-zum-terminalserver> -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -j LOGREJECT 
iptables -A FORWARD -p tcp -j LOGREJECT

iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -i <netzwerk-device-zum-terminalserver> -p tcp --dport 80 \
-j DNAT --to-destination <ip-des-terminalservers>

Das jetzt unten nur fuer Port80 dann halt die ganzen andern dadran. Das uebliche Zeugs zum Schutz gegen DoS Angriffe usw. sowie Aktivierung von ip_forwarding hab ich alles im Kopf (es wuerd sonst zu lang werden). Ich bin mir fast sicher, dass es so gehen kann...

PS: Ich weis: Ihr habt sowas schon 1millionen mal gehoert usw. und es haengt euch langsam zum Hals raus. Aber es ist fuer mich ziemlich wichtig eine Bestaetigung oder Verbessrungsvorschlaege zu bekommen.

Gruss,
jdoom
 
Zuletzt bearbeitet:
Moin.
Wieso:
Clients ---> Terminalserver ---> Firewall1 ---> Proxy ---> Firewall2 ---> Internet
Und nicht:
Clients ---> Proxy/Firewall(Definiert was rein und raus soll) ---> Firebox-Appliance(Lässt alles raus aber nur ausgewählte Ports rein) ---> Internet

So läuft es bei uns in der Firma.
 
Zuletzt bearbeitet:
Jo, man kann den Paketfilter (also firewall1) auch direkt auf den proxy tun.
 

Ähnliche Themen

Port Forwarding mit iptables

ip6tables Problem

iptables verständniss frage, xrdp nicht erreichbar.

[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.

Wired-Lan komisches Verhalten

Zurück
Oben