Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
etc/login.defs anzupassen. Zusätzlich sollte man die Datei nologin in / mit<br />
touch /nologin anlegen.<br />
• Alle RPC <strong>und</strong> unbenötigte Dienste sind aus der Datei /etc/inetd.conf zu<br />
entfernen. Aktive Dienste lassen sich mit netstat -a anzeigen.<br />
• Die Datei /etc/services sollte durch die mitgelieferte Datei ersetzt werden. Die<br />
Rechte sollten mit chmod 0644 /etc/services korrekt gesetzt werden.<br />
• Als Mailerdämon sei postfix oder qmail emfohlen, alternativ eigenen sich auch<br />
smap <strong>und</strong> smapd. Von smail <strong>und</strong> sendmail ist dringend abzuraten.<br />
• Zur überwachung der <strong>Firewall</strong> auf Veränderungen der Dateien sollte tripwire<br />
eingesetzt werden. Um die Datenbank der Prüfsummen unveränderbar<br />
aufzubewahren, kann man diese auf eine mit Minix formatierte Diskette<br />
kopieren, den Schreibschutz aktivieren <strong>und</strong> diese dann in ein Verzeichnis<br />
mounten. Im BIOS Setup sollte dann die Bootsequenz auf C: A: eingestellt<br />
werden.<br />
• Es sollten folgende Cronjobs aktiviert werden:<br />
oJe nach Mailerdämon ist die Mailqueue im 10 Minuten Interwall zu<br />
leeren<br />
osfc start sollte alle 5 Minuten laufen. Falls einmal der <strong>Firewall</strong>-Dämon<br />
abstürzen sollte, wird er dann automatisch neu gestartet<br />
osfc reconfig flush_all sollte täglich einmal laufen. Es löscht hängende<br />
Verbindungen. An dieser Stelle sollte man auch die Logfiles<br />
komprimieren, an den Mailhost versenden oder in ein<br />
Ausgangsverzeichnis legen, wo es täglich z.B. von einem NT Server<br />
abgeholt wird.<br />
15.3 Programmierung der <strong>Firewall</strong><br />
Die SINUS <strong>Firewall</strong> wird durch ein einziges Konfigurationsfile gesteuert. In diesem<br />
Abschnitt sind alle Möglichkeiten beschrieben <strong>und</strong> mit Beispielen unterlegt.<br />
Details bezüglich der genauen Syntax sind am Ende dieses Abschnittes zu finden.<br />
Das Konfigurationsfile ist in 3 Abschnitte aufgeteilt:<br />
• Die setup Sektion enthält Informationen über die Netzwerk- Topologie <strong>und</strong><br />
das System<br />
• Die configration Sektion enthält alle Filterregeln <strong>für</strong> IP Pakete<br />
• Die notification Sektion gibt an, was die <strong>Firewall</strong> zu tun hat, wenn eine Regel<br />
zutrifft<br />
Alle Kommentare in dem Konfigurationsfile sind mit einem # zu Beginn, oder mit /*...*/<br />
entsprechend dem C-Stil gekennzeichnet.<br />
Es dürfen nur Kleinbuchstaben im Konfigurationsfile benutzt werden.<br />
Festlegung der IP-Adressen<br />
IP Adressen werden an verschiedensten Stellen in dem Konfigurationsfile benutzt. Es sind<br />
beide Schreibweisen <strong>für</strong> IP-Adressen erlaubt. Der DNS Name <strong>und</strong> die IP - Nummer als<br />
Dezimalzahl, durch Punkte getrennt (Also www.name.de oder 1.2.3.4). Hierzu muß der<br />
resolver Zugriff auf den DNS-Server haben, oder es müssen in der Datei /etc/hosts alle<br />
beteiligten Hostnamen eingetragen werden. Aus Gründen der Sicherheit sollte man mit<br />
den IP - Nummern <strong>und</strong> nicht mit den DNS-Namen arbeiten. Dies hat folgende Gründe:<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins