Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• DNS1: DNS-Anfragen über UDP <strong>und</strong> Antworten der internen DNS-Server<br />
zum DNS-Server auf dem Bastion-Host werden hierdurch erlaubt.<br />
• DNS2: DNS-Anfragen über UDP <strong>und</strong> Antworten des DNS-Servers auf dem<br />
Bastion-Host werden hierdurch erlaubt.<br />
• DNS3 <strong>und</strong> DNS4: DNS-Anfragen über TCP vom DNS-Server auf dem<br />
Bastion-Host zum internen DNS-Server werden durch diese Regeln<br />
zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden<br />
Zonen-Transfers mit dem DNS-Server auf dem Bastion-Host als sek<strong>und</strong>ärem<br />
Server <strong>und</strong> dem internen DNS-Server als primärem Server erlaubt.<br />
• DNS5 <strong>und</strong> DNS6: DNS-Anfragen über TCP vom internen DNS-Server zu<br />
DNS-Servern auf dem Bastion-Host werden durch diese Regeln zugelassen,<br />
ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-<br />
Transfers mit dem DNS-Server auf dem Bastion-Host als primärem Server<br />
<strong>und</strong> dem internen DNS-Server als sek<strong>und</strong>ärem Server erlaubt.<br />
• STD1 <strong>und</strong> STD2: Diese Regeln blockieren alle Pakete, sofern sie nicht in<br />
einer der vorhergehenden Regeln erlaubt wurden.<br />
19.2 Äußere <strong>Firewall</strong> mit bastion host <strong>und</strong> Grenznetz<br />
Gemäß Abbildung 3 gelten <strong>für</strong> die äußere <strong>Firewall</strong> bzw. den äußeren Paketfilter einige<br />
spezielle Regeln. Das Grenznetz stellt den Bereich zwischen den beiden <strong>Firewall</strong>s dar. Als<br />
Basion Host sind Server1+2 entsprechend den Regeln zu konfigurieren. Die Logeinträge<br />
der äußeren <strong>Firewall</strong>s sind stets zu kontrollieren <strong>und</strong> mit denjenigen der inneren <strong>Firewall</strong><br />
abzugleichen. Nur so kann ein Angriff auf die Server im Grenznetz bemerkt werden. Im<br />
Falle eines Angriffs sind beide <strong>Firewall</strong>s, die innere <strong>und</strong> äußere automatisch zu sperren.<br />
Differenzen ergeben sich immer dann, wenn Pakete, Quell-IP Nummern aus dem Intranet<br />
<strong>und</strong> deren Zieladresse IP - Nummer aus dem Internet nicht gleichermaßen in den Logfiles<br />
der inneren <strong>und</strong> äußeren <strong>Firewall</strong> erscheinen. Differenzen, die sich aus einem Upload von<br />
WWW-Seiten via HTTP oder FTP Protokoll auf die Server im Grenznetz ergeben, können<br />
ignoriert werden. Das betrifft auch NNTP, UUCP, SMTP <strong>und</strong> DNS.<br />
Regel Richtung Quell-IP Ziel-IP Prot Quellport Zielport ACK? Aktion<br />
SPF1 ein intern bel. bel. bel. bel. bel. verbieten<br />
SPF2 ein Grenznetz bel. bel. bel. bel. bel. verbieten<br />
TEL1 aus intern bel. TCP >1023 23 bel. zulassen<br />
TEL2 ein bel. intern TCP 23 >1023 ja zulassen<br />
FTP1 aus intern bel. TCP >1023 21 bel. zulassen<br />
FTP2 ein bel. intern TCP 21 >1023 ja zulassen<br />
FTP3 aus intern bel. TCP >1023 >1023 bel. zulassen<br />
FTP4 ein bel. intern TCP >1023 >1023 ja zulassen<br />
FTP5 aus Bastion bel. TCP >1023 21 bel. zulassen<br />
FTP6 ein bel. Bastion TCP 21 >1023 ja zulassen<br />
FTP7 ein bel. Bastion TCP 20 6000-6003 bel. verbieten<br />
FTP8 ein bel. Bastion TCP 20 >1023 bel. zulassen<br />
FTP9 aus Bastion bel. TCP >1023 20 ja zulassen<br />
FTP10 ein bel. Bastion TCP >1023 21 bel. zulassen<br />
FTP11 aus Bastion bel. TCP 21 >1023 ja zulassen<br />
FTP12 aus Bastion bel. TCP 20 >1023 bel. verbieten<br />
FTP13 ein bel. Bastion TCP >1023 20 ja zulassen<br />
FTP14 ein bel. Bastion TCP >1023 >1023 bel. zulassen<br />
FTP15 aus Bastion bel. TCP >1023 >1023 bel. zulassen<br />
SMTP1 aus Bastion bel. TCP >1023 25 bel. zulassen<br />
SMTP2 ein bel. Bastion TCP 25 >1023 ja zulassen<br />
SMTP3 ein bel. Bastion TCP >1023 25 bel. zulassen<br />
SMTP4 aus Bastion bel. TCP 25 >1023 ja zulassen<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins