 |
Das deutsche QBasic- und FreeBASIC-Forum
Für euch erreichbar unter qb-forum.de, fb-forum.de und freebasic-forum.de!
|
| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Sebastian
Administrator
Anmeldungsdatum: 10.09.2004
Beiträge: 5969
Wohnort: Deutschland
|
 Verfasst am: 02.02.2009, 18:17 Titel: Linux-Router zur Abtrennung von Netzsegmenten |
 |
|
Hallo,
ich möchte gerne in einem Netzwerk einen Bereich vom Rest abschotten und durch die Abschottung in Form eines Linux-Routers u.a. nur guten Traffic über Port 80, 443 und vielleicht noch 2, 3 andere durchlassen. Im Folgenden habe ich mal ein Bildchen erstellt, wie ich mir das wünschen würde:
Für die PC0x bräuchte es keinerlei Beschränkungen geben. Es ist auch egal, ob die aufs rote Netz zugreifen können.
| Code: | // Pseudo-Routing-Tabelle für den Linux-Router
----
Trafficursprung: Von 192.168.1.* kommend
Trafficziel: 192.168.0.* außer 192.168.0.1
Port ist: egal
Gateway: 0.0.0.0 => Verweigern!
----
Trafficursprung: Von 192.168.1.* kommend
Trafficziel: Alles außer 192.168.1.* und 192.168.0.*
Port ist: 80 oder 443 oder 1234
Gateway: 192.168.0.1
---- |
Ich möchte jetzt gerne einen Linuxrouter mit zwei Netzwerkkarten so einrichten, dass er das, was in dem Kästchen unten rechts beschrieben steht, umsetzt. Wie gehe ich da am besten vor? Den gesamten Netzwerkteil links vom einzurichtenden Linux-Router gebe es bereits. Daran soll nichts geändert werden. Angenommen, ich habe jetzt z.B. ein Debian mit den 2 NICs eingerichtet und hätte den DHCP-Server für das rote Netz in Gang bekommen (hoffe mal, dass ich das hinbekomme). Wie muss ich dann weitermachen?
Ich bin auch gerade dabei, mich ein bisschen in IPCop einzuarbeiten. Vielleicht bietet die Software bereits das Gewünschte. Mal sehen, wie weit ich damit komme. Wenn jemand Tipps und Hinweise hat, jederzeit gern! 
Danke schon mal für alle Ratschläge!
Viele Grüße!
Sebastian
_________________
Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen! |
|
| Nach oben |
|
 |
Manuel
Anmeldungsdatum: 23.10.2004
Beiträge: 1271
Wohnort: Bayern
|
| Verfasst am: 03.02.2009, 07:02 Titel: |
|
|
Wenn du Kommandozeilenzugriff auf den Linuxrouter hast, wäre "iptables" wohl das passende Programm, was du bräuchtest, ist auch in Debian dabei. Allerdings ist die Einarbeitung in iptables - nun - sagen wir, nicht in 5 Minuten erledigt^^.
Mit IPCop ginge es vermutlich viel schneller und leichter dank Web-GUI (kann dazu aber nix sagen, weil ich IPCop nie verwendet habe).
Wenn du willst, kann ich dir nachher einige Beispielbefehle zu iptables posten (jetzt momentan nicht, die Schule ruft^^).
_________________
DL Walk (Denkspiel) | DL Malek (Denkspiel) | DL Warrior (ASCII-Adventure) | DL Sokodos (Sokoban-Klon)
---
www.astorek.de.vu |
|
| Nach oben |
|
|
dreael
Administrator
Anmeldungsdatum: 10.09.2004
Beiträge: 2529
Wohnort: Hofen SH (Schweiz)
|
| Verfasst am: 03.02.2009, 16:28 Titel: Re: Linux-Router zur Abtrennung von Netzsegmenten |
|
|
Wie bereits genannt:
1.) Konzept: Welche IP-Netze sind wo erreichbar? z.B. 10.17.0.0/16 und 10.24.0.0/16 auf eth0, 10.19.0.0/16 auf eth1 usw. Übrigens ist auch das öffentliche Internet als 0.0.0.0/0 ebenfalls ein ganz normaler Teilnehmer!
2.) Policy: Default = Deny für Kommunikation zwischen ethx und ethy für alle x, y, x<>y gültig
3.) Da Du ja aber Vernetzung schlussendlich doch brauchst: Genaue Matrix, wer mit wem über welches Protokoll kommunizieren darf, z.B. Mailserver 10.24.77.3 darf mit 10.19.93.44:25 per SMTP kommunizieren, Webserver 10.17.44.1 braucht MySQL auf 10.19.94.66:3306 usw., Workstatios 10.24.117.0/24 dürfen SQL-Server 10.19.95.22:1433 verwenden usw.
4.) Erst jetzt Linux in die Hand nehmen und umsetzen.
| Sebastian hat Folgendes geschrieben: | | u.a. nur guten Traffic über Port 80, 443 und vielleicht noch 2, 3 andere durchlassen. |
Mit der Aussage "guten Traffic" vorsichtig sein, denn der moderne Angreifer tunnelt seinen Verkehr perfekt in die "offizellen Verkehrswege" hinein! z.B. Trojaner auf dem infizierten Arbeitsplatz-PC benützt die Proxyeinstellungen des Webbrowsers einfach mit, Gegenstation ist vielleicht ein ein normalerweise völlig harmloser Webserver, auf dem bei einer Site ein "Osterei" platziert werden konnte.
_________________
Teste die PC-Sicherheit mit www.sec-check.net |
|
| Nach oben |
|
|
Type
Anmeldungsdatum: 24.02.2006
Beiträge: 187
Wohnort: Dresden
|
| Verfasst am: 03.02.2009, 18:18 Titel: |
|
|
Hallo,
IPCop ist für dich da genau die Richtige Wahl! Mein BRuder und ich abretien damit selber schon seit ca. einem Jahr störungsfrei.
Eventuell hast du die Seite schon selber gefunden, aber falls nicht...
http://www.ipcop-forum.de/
Da kriegst du alles was du brauchst.
Wenn mein Bruder wieder da ist, kann ich dir auf Wunsch noch einige andere, interessante Adressen mit einigenUtotrials und Erklärungen geben.
MfG Type |
|
| Nach oben |
|
|
Sebastian
Administrator
Anmeldungsdatum: 10.09.2004
Beiträge: 5969
Wohnort: Deutschland
|
| Verfasst am: 03.02.2009, 20:06 Titel: Re: Linux-Router zur Abtrennung von Netzsegmenten |
|
|
Danke für die Tipps!
| Manuel hat Folgendes geschrieben: | | Wenn du willst, kann ich dir nachher einige Beispielbefehle zu iptables posten (jetzt momentan nicht, die Schule ruft^^). |
Ja, gerne. Wenn du aber auch denkst, dass IPCop wohl die unkompliziertere und trotzdem passende Wahl ist, würd ich mich wohl eher daran wagen. 
| dreael hat Folgendes geschrieben: | | Sebastian hat Folgendes geschrieben: | | u.a. nur guten Traffic über Port 80, 443 und vielleicht noch 2, 3 andere durchlassen. |
Mit der Aussage "guten Traffic" vorsichtig sein, denn der moderne Angreifer tunnelt seinen Verkehr perfekt in die "offizellen Verkehrswege" hinein! z.B. Trojaner auf dem infizierten Arbeitsplatz-PC benützt die Proxyeinstellungen des Webbrowsers einfach mit, Gegenstation ist vielleicht ein ein normalerweise völlig harmloser Webserver, auf dem bei einer Site ein "Osterei" platziert werden konnte. |
Ja, mit "gutem Traffic" meine ich den Traffic vorwiegend sinnvoller Internetdienste, deren Nutzung allgemein erwünscht ist, im Vergleich zu überaus unerwünschtem Traffic beispielsweise gewisser Tauschbörsenprogramme, die vorwiegend mit bestimmten Ports arbeiten. Allerdings nutzen ja auch aus der Reihe der unerwünschten Programme einige z.B. die Ports 80 und 443, um ihren Traffic zu tarnen, sodass ein Layer 7 Filter zum Einsatz kommen müsste.
Danke! Ich glaube da bin ich gestern schon mal vorbeigesurft, aber dann schau ich mich da noch mal genauer um.
| Type hat Folgendes geschrieben: | Da kriegst du alles was du brauchst.
Wenn mein Bruder wieder da ist, kann ich dir auf Wunsch noch einige andere, interessante Adressen mit einigenUtotrials und Erklärungen geben. |
Sehr gern!
| dreael hat Folgendes geschrieben: | | 4.) Erst jetzt Linux in die Hand nehmen und umsetzen. |
Ja, wer auf was zugreifen können soll, hab ich mir ja schon mit der Skizze eigentlich überlegt. Da ich in Sachen Linuxadministration noch nicht so firm bin, ist vor allem dieser Schritt 4 kniffelig.
Viele Grüße!
Sebastian
_________________
Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen! |
|
| Nach oben |
|
|
Type
Anmeldungsdatum: 24.02.2006
Beiträge: 187
Wohnort: Dresden
|
| Verfasst am: 06.02.2009, 23:06 Titel: |
|
|
Hallo,
hat zwar etwas gedauert, aber ich konnte meinen Bruder leider nicht eher erreichen.
MFG Type |
|
| Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
