Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
NNTP1 aus Server NNTP TCP >1023 119 bel. zulassen<br />
NNTP2 ein NNTP Server TCP 119 >1023 ja zulassen<br />
NNTP3 ein NNTP Server TCP >1023 119 bel. zulassen<br />
NNTP4 aus Server NNTP TCP 119 >1023 ja zulassen<br />
HTTP1 aus Bastion bel. TCP >1023 bel. bel. zulassen<br />
HTTP2 ein bel. Bastion TCP bel. >1023 ja zulassen<br />
HTTP3 ein bel. Bastion TCP >1023 80 bel. zulassen<br />
HTTP4 aus Bastion bel. TCP 80 >1023 ja zulassen<br />
DNS1 aus Bastion bel. UDP 53 53 zulassen<br />
DNS2 ein bel. Bastion UDP 53 53 zulassen<br />
DNS3 ein bel. Bastion UDP bel. 53 zulassen<br />
DNS4 aus Bastion bel. UDP 53 bel. zulassen<br />
DNS5 aus Bastion bel. TCP >1023 53 bel. zulassen<br />
DNS6 ein bel. Bastion TCP 53 >1023 ja zulassen<br />
DNS7 ein bel. Bastion TCP >1023 53 bel. zulassen<br />
DNS8 aus Bastion bel. TCP 53 >1023 ja zulassen<br />
STD1 aus bel. bel. bel. bel. bel. bel. verbieten<br />
STD2 ein bel. bel. bel. bel. bel. bel. verbieten<br />
Regel-Erläuterungen<br />
• SPF1 <strong>und</strong> SPF2: Pakete, die angeblich von internen IP-Adressen stammen,<br />
d.h. gefälschte Pakete die mit hoher Wahrscheinlichkeit von einem Angreifer<br />
stammen oder deren Ursache in einer Fehlkonfiguration liegt, werden<br />
blockiert. (spoofig) SPF1 ist analog der Regel SPOOF <strong>für</strong> den inneren Router,<br />
wohingegen es die Regel SPF2 ausschließlich <strong>für</strong> den äußeren Router gibt.<br />
• TELNET1 <strong>und</strong> TELNET2: Ausgehende TELNET-Verbindungen werden durch<br />
diese Regeln erlaubt. Sie sind den gleichnamigen Regeln <strong>für</strong> den inneren<br />
Router analog. Dies hat <strong>für</strong> alle Regeln die nur interne <strong>und</strong> externe Rechner<br />
betreffen Gültigkeit, <strong>für</strong> Rechner im Grenznetz jedoch nicht.<br />
• FTP1, FTP2, FTP3 <strong>und</strong> FTP4: Ausgehende FTP-Verbindungen im passiven<br />
Modus werden durch diese Regeln zugelassen. Sie sind den gleichnamigen<br />
Regeln <strong>für</strong> den inneren Router analog.<br />
• FTP5 <strong>und</strong> FTP6: Diese Regeln erlauben das Öffnen eines FTP Kommando-<br />
Kanals zu FTP-Servern im Internet durch den FTP-Proxy-Server auf dem<br />
Bastion-Host. Im Gegensatz zu den identischen Regeln <strong>für</strong> den inneren<br />
Router sind diese auch dann nicht red<strong>und</strong>ant, wenn die Regeln FTP1 <strong>und</strong><br />
FTP2 in der Liste weiter oben stehen, da Bastion-Host als Quelle oder Ziel<br />
lediglich von den Regeln FTP5 <strong>und</strong> FTP6 abgedeckt wird, nicht aber von<br />
FTP1 <strong>und</strong> FTP2 <strong>für</strong> interne Rechner.<br />
• FTP7, FTP8 <strong>und</strong> FTP9: Diese Regeln lassen FTP-Datenverbindungen vom<br />
Proxy-Server auf dem Bastion-Host zu internen Clients, die nicht im passiven<br />
Modus arbeiten, zu. Angreifer die Zugang zum Bastion-Host erlangt haben,<br />
werden durch FTP7 daran gehindert, interne X11-Server über die durch FTP8<br />
<strong>und</strong> FTP9 geöffnete Lücke anzugreifen. Sollten Sie auf TCP-Ports >1023<br />
andere interne Server betreiben, ist es sinnvoll da<strong>für</strong> ähnliche Regeln<br />
einzufügen. Entsprechend Regel FTP7 alle Verbindungen aufzuführen, die<br />
verboten werden sollen, wird im allgemeinen nicht möglich sein, da z.B. nach<br />
der Einrichtung des Paketfilters Dienste hinzugefügt werden oder bei der<br />
Einrichtung nicht alle bekannt sind, jedoch sollte man es nicht unterlassen zur<br />
Unterstützung von FTP-Clients im normalen Modus <strong>für</strong> so viele Verbindungen<br />
wie möglich zuzulassen.<br />
• FTP10, FTP11, FTP12, FTP13, FTP14 <strong>und</strong> FTP15: Diese Regeln lassen<br />
FTP-Verbindungen im passiven Modus von externen Clients zum<br />
Anonymous-FTP-Server auf dem Bastion-Host zu. Da im internen Netz keine<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins