Interner Server - Firewall notwendig?

L

LordIcon

Eroberer
Hey und Hallo,

ich habe die Tage einen neuen Debianserver bei uns im Netzwerk installiert und als OpenVPN-Server konfiguriert. Ebenfalls läuft auf dem Server auch der SSH-Daemon um nicht immer in den Serverraum gehen zu müssen. Evtuell werden wir auf dem Server auch noch einen Squid Proxy und/ oder den Openfire Jabber-Server installieren.

Ich bin jetzt nur gerade am Überlegen ob ich auf dem Server auch noch eine Firewall (IP-Tables) einrichten sollte oder ob ich darauf verzichten kann/ könnte da das Netzwerk eh schon abgesichert (ADSL-Zugang -> DSL Router, SDSL-Zugang -> Checkpoint Firewall) ist.

Die auf dem Server laufenden Dienste habe bzw. werde ich noch entsprechend absichern/ härten, auf Basis von http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html, nur bei der Firewall bin ich mir gerade nicht sicher ob dies notwenidg ist.
 
Zuletzt bearbeitet:
wenn kein dienst laeuft antwortet debian auch nicht, also wenn du keinen dienst hast, der nicht genutzt werden soll, brauchst du intern auch keine firewall
 
Was genau meinst du mit Diensten jetzt? Wie ich geschrieben habe läuft aktuell auf dem Server OpenVPN und SSH, welche auch antworten....
 
Was sie ja auch müssen. Sonst kommste ja nicht auf den Server drauf. ;)
 
Ja eben... Aber trotzdem weiß ich jetzt immer noch nicht ob ich auf dem Server eine Firewall brauche oder nicht. Das Netz ist durch andere Firewalls geschützt, nur für OpenVPN ist eine Portweiterleitung bisher auf der Firewall/ dem DSL-Router eingerichtet....
 
Aber trotzdem weiß ich jetzt immer noch nicht ob ich auf dem Server eine Firewall brauche oder nicht.

Du brauchst keine.

Wenn Du wirklich die Sicherheit erhöhen möchtest, dann sollte eine Firewall auf einem anderen Stück Hardware laufen, eine Firewall auf dem Server selbst bringt so gut wie gar nichts.
 
Paketfilter

Also Paketfilter würde ich dennoch aufsetzen wenn was weitergeleitet wird. Ich weiß ja nicht wie du das gehandhabt hast 2 Netzwerkkarten oder eine? Keine ahnung, ich würde dennoch den Server durch Iptables sichern oder wenigstens mit Snort überwachen kann ja sein das dochmal was durchkommt. Mit Linux gibt es soviele Möglichkeiten warum nicht ausschöpfen, ist doch kein Aufwand einfach wenige Rules für die Dienste zu schreiben.
 
Zuletzt bearbeitet:
Zurück
Oben