Hallo,
ich habe 2 Firewalls mit FBSD und Vers 5.3 (ipfw2) aufgesetzt.
Diese sollen dazu dienen ein Netzwerk mit DMZ und internem Netz zu schützen.
INTERNET -> FW1 -> DMZ -> FW2 ->INTERN
Im internen Netz läuft ein Proxy (Squid) über den alle Leute surfen sollen.
Der Mailserver ist zurzeit noch auf einer Externen IP und soll dann irgendwann in die DMZ integriert werden.
Primär geht es mir erstmal darum das die User nur über den Proxy ins Netz kommen und nur den Mailserver erreichen. Es sollten natürlich auch die internen FBSD Server geupdatet werden können.
SSH soll auf der ersten Firewall nur von bestimmten Rechner erreichbar sein. Der Mail server ist nur von der IP der Firewall erreichbar.
Würde diese Rules für die DMZ FW so passen?
Danke schon mal!
PS. Sollte eigentlich ins FBSD Forum ... Mist
Viele Grüße
Steffen
ich habe 2 Firewalls mit FBSD und Vers 5.3 (ipfw2) aufgesetzt.
Diese sollen dazu dienen ein Netzwerk mit DMZ und internem Netz zu schützen.
INTERNET -> FW1 -> DMZ -> FW2 ->INTERN
Im internen Netz läuft ein Proxy (Squid) über den alle Leute surfen sollen.
Der Mailserver ist zurzeit noch auf einer Externen IP und soll dann irgendwann in die DMZ integriert werden.
Primär geht es mir erstmal darum das die User nur über den Proxy ins Netz kommen und nur den Mailserver erreichen. Es sollten natürlich auch die internen FBSD Server geupdatet werden können.
SSH soll auf der ersten Firewall nur von bestimmten Rechner erreichbar sein. Der Mail server ist nur von der IP der Firewall erreichbar.
Würde diese Rules für die DMZ FW so passen?
#!/bin/sh
#
######## Variablen werden definiert ###########################################
NETDEV="sk0" # Netzwerk-Device extern
LIP="192.68.xx.xx" # externe IP
NETDEV1="rl0" # Netzwerk-Device intern
LIP1="10.210.64.250" # locale IP Gateway
LIP_proxy="10.210.64.117" # locale IP SQUID
LIP_mail="192.68.xx.xx" # externe IP Mailserver
LIP_ssh="62.xx.xx.xx" # externe IP SSH1
LIP_ssh2="195.xx.xx.xx" # externe IP SSH2
###############################################################################
#
######## Alle Regeln werden geloescht (RESET) ##################################
ipfw -f flush
###############################################################################
#
######## Nicht-Routingfaehige IP's werden verboten (Spoofing) #################
ipfw add 1 deny log all from 127.0.0.0/8 to any in via $NETDEV
ipfw add 2 deny log all from 192.168.0.0/16 to any in via $NETDEV
ipfw add 3 deny log all from 172.16.0.0/12 to any in via $NETDEV
ipfw add 4 deny log all from 10.0.0.0/8 to any in via $NETDEV
###############################################################################
#
######## Loopback erlauben ####################################################
ipfw add 5 allow all from any to any via lo0
ipfw add 6 deny log all from any to 127.0.0.0/8
###############################################################################
#
######## "state-full-Paketfilter-Regeln" werden ermoeglicht ###################
ipfw add 7 check-state
###############################################################################
#
######## unterdrueckt jeden Ping von draussen. ################################
ipfw add 20 deny icmp from any to $LIP icmptypes 8
###############################################################################
#
######## unterdruecken bestimmten ICMP-Typen. #################################
ipfw add 40 deny icmp from any to any icmptypes 3 out via $NETDEV
ipfw add 41 deny log icmp from any to any icmptypes 5
ipfw add 42 deny icmp from any to any icmptypes 15
###############################################################################
#
######## der restlichen icmp-Verkehr wird erlaubt #############################
ipfw add 100 allow icmp from any to any
###############################################################################
#
######## ermoeglicht die Einwahl per SSH von bestimmten Rechnern###############
ipfw add 10 allow tcp from $LIP_ssh to any 22 keep-state
ipfw add 11 allow udp from $LIP_ssh to any 22 keep-state
ipfw add 12 allow tcp from $LIP_ssh2 to any 22 keep-state
ipfw add 13 allow udp from $LIP_ssh2 to any 22 keep-state
###############################################################################
#
######## fuer FTP erforderlich zum Update######################################
ipfw add 150 allow tcp from $LIP to any 21 keep-state
ipfw add 151 allow udp from $LIP to any 21 keep-state
ipfw add 152 allow tcp from $LIP_proxy to any 21 keep-state
ipfw add 153 allow udp from $LIP_proxy to any 21 keep-state
###############################################################################
#
######## NAMESERVER-Anfragen - erlauben #######################################
ipfw add 1000 allow udp from any to any 53 keep-state
ipfw add 1001 allow tcp from any to any 53 keep-state
###############################################################################
#
######## Mailzugriff nur auf diese IP erlauben ################################
ipfw add 1302 allow tcp from any to $LIPMAIL 25 keep-state
ipfw add 1303 allow udp from any to $LIPMAIL 25 keep-state
ipfw add 1306 allow tcp from any to $LIPMAIL 995 keep-state
ipfw add 1307 allow udp from any to $LIPMAIL 995 keep-state
ipfw add 1308 allow tcp from any to $LIPMAIL 993 keep-state
ipfw add 1309 allow udp from any to $LIPMAIL 993 keep-state
###############################################################################
#
######## fuer HTTP/S/FTP erforderlich über SQUID###############################
ipfw add 5018 allow tcp from 10.210.64.117 to any 21 keep-state
ipfw add 5019 allow tcp from 10.210.64.117 to any 80 keep-state
ipfw add 5020 allow tcp from 10.210.64.117 to any 443 keep-state
###############################################################################
#
######## DB close #################### ########################################
ipfw add 5022 deny tcp from any to any 3306 keep-state
###############################################################################
#
######## DB open zu DATENBANKSERVER ###########################################
ipfw add 5023 allow tcp from $LIP to $LIP_mail 3306 keep-state
###############################################################################
#
######## unprivilegierte Ports oeffnen ########################################
ipfw add 6500 allow tcp from any to any 1024-65535
###############################################################################
#
######## Der Rest wird verboten ###############################################
ipfw add 40000 deny all from any to any
###############################################################################
Danke schon mal!
PS. Sollte eigentlich ins FBSD Forum ... Mist
Viele Grüße
Steffen