Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Welches Problem existiert sonst noch ? Eine Verletzung der Gr<strong>und</strong>regeln:<br />
Es kommt entscheidend auf die Reihenfolge der Regeln an. Diese werden der Reihe nach<br />
abgearbeitet. Trifft eine Regel zu, dann wird das Paket freigegeben, auch wenn eine<br />
spätere Regel diese Regel wieder aufhebt, da nach einem Match (zutreffende Regel) die<br />
<strong>Firewall</strong> die Regeln nicht weiter durchläuft. Anti spoofing Regeln müssen alle vor allen<br />
anderen Regeln abgearbeitet werden.<br />
Darum sollte man sich merken: Die Reihenfolge des gesamten Regelwerkes ist nicht<br />
beliebig. Eine Besonderheit stellen aber die anti spoofing Regeln dar. Diese wirken<br />
ausschließlich auf den IP - Stack (nicht TCP - Stack!). Diese müssen immer zuerst in den<br />
<strong>Firewall</strong>regeln erscheinen. Da die <strong>Firewall</strong>regeln der Reihe nach abgearbeitet werden,<br />
scheitern gespoofte Pakete schon an der ersten <strong>Firewall</strong>regel im IP-Stack. Die Pakete<br />
können daher nicht an den TCP Stack weitergegeben werden, da diese unverzüglich<br />
vernichtet werden. Der Unterschied liegt in der Wirkung der <strong>Firewall</strong>regeln auf den IP-<br />
Stack <strong>und</strong> auf den TCP Stack. Anti Spoofing Regeln wirken nur auf den IP-Stack, die<br />
anderen Regeln wirken auch auf den TCP Stack. Es ist wichtig, diese Tatsache<br />
verstanden zu haben, auch wenn hier zwei völlig voneinander unabhängige Funktionen<br />
mit ein- <strong>und</strong> demselben Werkzeug administriert werden. Da im Kernel bei eintreffenden<br />
Paketen immer zuerst der IP-Stack zuständig ist, <strong>und</strong> dann erst der TCP Stack, erreichen<br />
diese Pakete den TCP Stack nicht. Dies hat zur Folge, daß die <strong>Firewall</strong> erheblich schneller<br />
arbeitet. Siehe auch <strong>Firewall</strong> Tuning. Es ist wichtig, daß man beim Aufbau der <strong>Firewall</strong> ein<br />
wenig versucht, mit der Default Policy <strong>und</strong> <strong>Firewall</strong>regeln herum zu spielen. Wer die<br />
Thematik als Systemadministrator der <strong>Firewall</strong> begriffen hat, der sollte auch stets seinen<br />
Stellvertreter in die Problematik einweihen, damit nicht bei vermeintliche "kleinen"<br />
Änderungen große Katastrophen eintreten.<br />
9.10 Masquerading <strong>und</strong> NAT<br />
Das Maskieren von Paketen findet im Kernel der <strong>LINUX</strong> <strong>Firewall</strong> statt. Sämtliche<br />
Adressen, die im Intranet verwendet werden, werden beim Forwarding mit der IP -<br />
Nummer der <strong>Firewall</strong> selber versehen. Sie erhalten die IP-Adresse von dem<br />
Netzwerkinterface EXTERNES_INTERFACE. Hierzu baut die <strong>Firewall</strong> eine Tabelle aller<br />
aktiven Verbindungen Internet Hosts in das Internet auf. Zurückkommende Pakete können<br />
somit den Hosts im Intranet korrekt zugeordnet werden. Masquerading ist ähnlich NAT<br />
(Network Address Translation). Der Unterschied liegt nur darin, daß bei NAT m interne IP -<br />
Nummern n externen IP - Nummern zugeordnet werden (wobei n kleiner als m). Bei<br />
Masquerading ist nur m=1 zugelassen, d.h. n interne Netzwerknummern werden auf 1<br />
externe IP-Nummer abgebildet. NAT Patches <strong>für</strong> die Kernel <strong>2.0</strong> <strong>und</strong> <strong>2.2</strong> sind aber im<br />
Internet verfügbar. Da masquerading im Kernel bei dem forwarding-Code stattfindet,<br />
liegt es nahe, das Masquerading bei den forwarding Regeln zu aktivieren. Für<br />
Masquerading gibt es im <strong>LINUX</strong> Kernel zahlreiche PROXY´s, die spezielle Protokolle<br />
implementiert haben, z.B. den PASV Mechanismus bei FTP. Alle NAT Implementierungen<br />
unter <strong>LINUX</strong> können nicht mit diesen Proxy´s zusammen betrieben werden, daher<br />
funktionieren einige Protokolle nur eingeschränkt (PASV FTP, CUSEEME, QUAKE). Der<br />
transparente Proxy funktioniert allerdings auch mit NAT, was bedeutet, daß alle TELNET<br />
basierten Protokolle ohne Probleme funktionieren.<br />
Forwarding von Paketen von LOKALES_INTERFACE an EXTERNES_INTERFACE<br />
ipfwadm -F -a -W $EXTERNES_INTERFACE -S $INTRANET<br />
Es muß nur das Wörtchen masquerade eingefügt werden ! So einfach kann die Welt sein:<br />
Forwarding von Paketen von LOKALES_INTERFACE an EXTERNES_INTERFACE<br />
mit masquerading<br />
ipfwadm -F -a masquerade -W $EXTERNES_INTERFACE -S $INTRANET<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins