Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
NNTP4 aus Server NNTP TCP 119 >1023 ja zulassen<br />
HTTP1 aus intern Bastion TCP >1023 80 bel. zulassen<br />
HTTP2 ein Bastion intern TCP 80 >1023 ja zulassen<br />
DNS1 aus Server Bastion UDP 53 53 zulassen<br />
DNS2 ein Bastion Server UDP 53 53 zulassen<br />
DNS3 aus Server Bastion TCP >1023 53 bel. zulassen<br />
DNS4 ein Bastion Server TCP 53 >1023 ja zulassen<br />
DNS5 ein Bastion Server TCP >1023 53 bel. zulassen<br />
DNS6 aus Server Bastion TCP 53 >1023 ja zulassen<br />
STD1 aus bel. bel. bel. bel. bel. bel. verbieten<br />
STD2 ein bel. bel. bel. bel. bel. bel. verbieten<br />
Regel-Erläuterungen<br />
• SPOOF: Pakete, die angeblich von internen IP-Adressen stammen, d.h.<br />
gefälschte Pakete die mit hoher Wahrscheinlichkeit von einem Angreifer<br />
stammen oder deren Ursache in einer Fehlkonfiguration liegt, werden<br />
blockiert.<br />
• TEL1 <strong>und</strong> TEL2: Ausgehende TELNET Verbindungen werden durch diese<br />
Regeln erlaubt.<br />
• FTP1 <strong>und</strong> FTP2: Ausgehende Verbindungen zu FTP-Servern, die <strong>für</strong> interne<br />
Clients zur Kommunikation mit diesen Servern im direkten Modus vonnöten<br />
sind, werden hierdurch erlaubt.<br />
• FTP3 <strong>und</strong> FTP4: Es werden <strong>für</strong> den Datenkanal von FTP im passiven Modus<br />
Verbindungen von internen Clients zu externen FTP Servern zugelassen.<br />
Durch diese Regeln werden allerdings auch sämtliche Verbindungen von<br />
internen TCP Ports >1023 zu externen TCP Ports >1023 erlaubt.<br />
• FTP5 <strong>und</strong> FTP6: Durch diese Regeln wird normalen internen FTP-Clients<br />
gestattet einen FTP-Kommandokanal zum FTP-Proxy-Server auf dem<br />
Bastion-Host zu eröffnen. Da FTP1 Und FTP2 als Quell- bzw. Zieladresse<br />
beliebig erfassen, also auch Bastion-Host, so scheinen FTP5 <strong>und</strong> FTP6,<br />
wenn FTP1 <strong>und</strong> FTP2 in der Liste früher erscheinen, eher überflüssig, sie<br />
vereinfachen jedoch das Werk. Desweiteren ist es durch ihren Einsatz<br />
möglich, die Regeln FTP1 <strong>und</strong> FTP2 zu ändern, ohne <strong>für</strong> Clients im normalen<br />
Modus den Zugang zum Proxy-Server zu behindern.<br />
• FTP7, FTP8 <strong>und</strong> FTP9: Diese Regeln lassen FTP-Datenverbindungen vom<br />
Proxy-Server auf dem Bastion-Host zu internen Clients, die nicht im passiven<br />
Modus arbeiten, zu. Angreifer die Zugang zum Bastion-Host erlangt haben<br />
werden durch FTP7 daran gehindert interne X11-Server über die durch FTP8<br />
<strong>und</strong> FTP9 geöffnete Lücke anzugreifen. Sollten Sie auf TCP-Ports >1023<br />
andere interne Server betreiben ist es sinnvoll da<strong>für</strong> ähnliche Regeln<br />
einzufügen. Entsprechend Regel FTP7 alle Verbindungen aufzuführen, die<br />
verboten werden sollen wird im allgemeinen nicht möglich sein, da z.B. nach<br />
der Einrichtung des Paketfilters Dienste hinzugefügt werden oder bei der<br />
Einrichtung nicht alle bekannt sind, jedoch sollte man es nicht unterlassen zur<br />
Unterstützung von FTP-Clients im normalen Modus dies <strong>für</strong> so viele<br />
Verbindungen wie möglich (bekannt) zu tun.<br />
• SMTP1 <strong>und</strong> SMTP2: Ausgehende Post von internen Rechnern zum Bastion-<br />
Host wird durch diese Regeln zugelassen.<br />
• SMTP3 <strong>und</strong> SMTP4: Eingehende Post vom Bastion-Host zum internen Mail-<br />
Server wird durch diese Regeln zugelassen.<br />
• NNTP1 <strong>und</strong> NNTP2: Ausgehende Usenet-News von Ihrem News-Server zum<br />
News-Server Ihres Service-Providers werden durch diese Regeln zugelassen.<br />
• HTTP1 <strong>und</strong> HTTP2: Interne HTTP Client-Verbindungen zum HTTP-Proxy-<br />
Server auf dem Bastion-Host werden durch diese Regeln zugelassen.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins