Transparente Firewall

pchris

Well-Known Member
Hallo!

Folgendes Problem liegt vor: Eine Serverfarm (die einzelnen Server werden von Schüler(gruppe)n betreut. Jetzt soll aber aus Sicherheitsgründen vor diese eine Firewall aufgestellt werden.

Die Vorgaben: Die Server haben externe IPs (80.70.200.64/26)*. Diese sollen auf alle Fälle beibehalten werden. Von aussen sollen nur die Ports 80,443,2222 erreichbar sein.

Ich habe schon ein bißchen gegoogelt und heraus gefunden, dass ich in dem Fall eine "transparente Firewall" einsetzten muss, da die IPs gleich bleiben sollen.

Könnt ihr mir bitte ein paar Tipps geben, was alles auf dem minimalen FreeBSD-System vorhanden sein muss, damit man das einrichten kann. Bzw. was man alles einstellen muss.

Am besten wäre es, wenn ihr Link(s) hättet, die sich mit dem Thema befassen, damit ich mich einlesen kann.

mfg
chris

*) IP-Range erfunden.
 
Dieses Setup wird auch "Bridging Firewall" genannt und ist mit FreeBSD Boardmitteln relativ einfach lösbar.

Konfigurier den Rechner als Bridge (z.B. mit if_bridge(4)) und richte den Packetfilter deines Vertrauens entsprechend ein. Bei if_bridge(4) kannst du dir dann aussuchen, auf welchem Interface du filtern willst: Auf dem Bridge Interface selbst, auf dem externen oder dem internen Interface.
 
hi

wir meine vorredner schon sagten ....... bridge ist das zauberwort.

leider kann ich das bridging nicht empfehlen das es eineige probleme
hat , hatte bezogen auf stp .....

deweiteren ist der if_brigde treiber von openbsd uebernommen

deshalt nimm lieber opbenbsd das passen dann auch so dinge wie trunk
( unter freebsd ist das glaube ich ng_eth2many oder so )
und carp.

habe ne openbsd system laufen in kompletter ha config.

docu ist man bridge

und p.s. man filter nicht auf dem bridge interface da es das regelwerk zu aufwendig macht

such die ein interface aus und fiter da .

holger
 
Hallo!

Vielen Dank einmal für eure Antworten. Ich werde mich da einmal einlesen und dann auf einem Testrechner experimentieren. Falls noch Fragen auftauchen, werde ich sie hier stellen.

mfg
chris
 
und wie wäre es mit natd ? Man kann auch externe ips routen wenn ich mich nicht irre. Dann einfach mit ipfw alle port zu machen (was default ist) und nur die gewünschten aufmachen ?
 
xff schrieb:
und wie wäre es mit natd ? Man kann auch externe ips routen wenn ich mich nicht irre. Dann einfach mit ipfw alle port zu machen (was default ist) und nur die gewünschten aufmachen ?


natd macht keine physische netzwerk trennung.
holger
 
Hallo ma ne allgemeine Frage zur transparenten firewall oder bridge.

folgendes setup:

[internet]---[router]---[transparent fw]-----[switch]----[lan pc]

Der lan pc hat als default gw den router eingetragen und sollte die transparente fw nicht sehen. ist es möglich diese ohne IP adressen im netz zu haben, so dass sie den traffic nur aufnimmt und unsichtbar weitergibt oder hab ich da was falsch verstanden? Und wenn dem so ist dann bräuchte man doch noch ne 3. netzwerkkarte um die fw überhaupt anzusürechen oder halt nen serial cable am com port.
 
lockdoc schrieb:
Hallo ma ne allgemeine Frage zur transparenten firewall oder bridge.

folgendes setup:

[internet]---[router]---[transparent fw]-----[switch]----[lan pc]

Der lan pc hat als default gw den router eingetragen und sollte die transparente fw nicht sehen. ist es möglich diese ohne IP adressen im netz zu haben, so dass sie den traffic nur aufnimmt und unsichtbar weitergibt oder hab ich da was falsch verstanden? Und wenn dem so ist dann bräuchte man doch noch ne 3. netzwerkkarte um die fw überhaupt anzusürechen oder halt nen serial cable am com port.

Das ist bei einer transparenten FW meistens* so. Im Prinzip ist das dann ein Switch, der "böse" Pakete vergisst. Und wenn man sie zwischen zwei Switches hängt, ist sie, wenn ich mich recht erinnere, sogar für arp-Spielchen unangreifbar.

Grüße
Stefan

*einige haben allerdings für ihr Konfigurationsinterface noch eine IP-Adresse. Die Konfiguration kann natürlich auch je nach Setup, wie Du schon geschrieben hast, par (serieller) Konsole erfolgen.
 
kruemelmonster schrieb:
Im Prinzip ist das dann ein Switch, der "böse" Pakete vergisst.
Meinst du hier mac-spoofed packets??

Aso gibt es irgendeine theoretische Möglichkeit in über Layer2 anzusprechen? Ihn sichtbar zu machen oder sogar zugriff zu bekommen?
 
lockdoc schrieb:
Meinst du hier mac-spoofed packets??

Aso gibt es irgendeine theoretische Möglichkeit in über Layer2 anzusprechen? Ihn sichtbar zu machen oder sogar zugriff zu bekommen?


hi

grundsaetzlich ja , jedoch schwierig bzw garnicht von ausserhalb der arp domain.

was bedeutet ja wenn du einen rechner hast der am gleichen z.b. switch haengt.
nein wenn der traffic vom boesen internet kommt.

ansonsten ist eine gebridge fw transparent ....... es sei den du gibst ihr eine ip auf
einem der bridge interfaces ( fues management ) jedoch ist sie dann nur als host
ansprechbar ........... "pass through " traffic sieht die fw nicht.
holger
 
mark05 schrieb:
was bedeutet ja wenn du einen rechner hast der am gleichen z.b. switch haengt.
nein wenn der traffic vom boesen internet kommt.

Das heisst den auch, wenn ein rechner direkt an der bridge hängt oder?

[internet]---[router]---[bridge]---[pc]

Dann müsste die bridge doch theoretisch vom router und vom pc irgendwie zu sehen sein. Kannst du genauer ausführen wie man ihn sehen bzw. darauf zugreifen kann. Also nen link oder nen paar begriffe (programm oder methode, usw.) dass ich mal bei google kucken könnte.
 
lockdoc schrieb:
Meinst du hier mac-spoofed packets??
Nein, alle, die laut Filterregeln nicht genehm sind, gehen (von außen, also Layer 3-7, gesehen) irgendwo verloren ;)

lockdoc schrieb:
Aso gibt es irgendeine theoretische Möglichkeit in über Layer2 anzusprechen? Ihn sichtbar zu machen oder sogar zugriff zu bekommen?
Wenn ich mich nicht irre, sollte es reichen, die Layer-2-Zone einzugrenzen - dafür dürften je ein Switch "links und rechts" reichen.
 
lockdoc schrieb:
Das heisst den auch, wenn ein rechner direkt an der bridge hängt oder?

[internet]---[router]---[bridge]---[pc]

Dann müsste die bridge doch theoretisch vom router und vom pc irgendwie zu sehen sein. Kannst du genauer ausführen wie man ihn sehen bzw. darauf zugreifen kann.

Garnicht, das ist ja Sinn und Zweck der Übung. Entweder du greifst auf die FW-Bridge per RS232 zu, oder ueber ein drittes Interface (Management-IF). Theoretisch kannst du auch einem Port der Bridge eine IP-Adresse verpassen, davon wuerde ich aber abraten, immerhin kosten gute 100MBit nicht mehr als 10€, da sollte man also nicht sparen.

Wenn du genau wissen willst, was du da tust, dann mache dich ueber folgende Begriffe schlau:
TCP/IP 4-Layer Model http://en.wikipedia.org/wiki/Internet_protocol_suite
Ethernet, Collision und Broadcast Domains
IP Routing/Adressierung

Das ist alles ein wenig viel fuer den Anfang, aber jeder hat mal klein angefangen :)
 
lockdoc schrieb:
Das heisst den auch, wenn ein rechner direkt an der bridge hängt oder?

[internet]---[router]---[bridge]---[pc]

Dann müsste die bridge doch theoretisch vom router und vom pc irgendwie zu sehen sein. Kannst du genauer ausführen wie man ihn sehen bzw. darauf zugreifen kann. Also nen link oder nen paar begriffe (programm oder methode, usw.) dass ich mal bei google kucken könnte.

eine bridge ist grundsaetzlich nicht zusehen das sie wie ein switch funktioniert .

um diese zu bekommen musst du die mac addr kennen der interfaces die bestandteil
der bridge sind
das kannst du par arp -s mac ip ( schau mal man arp ) ihr von aussen eine ip geben.

nun kannst du natuerlich , wie ich schon sagte , dem einen oder dem anderen bridge
interface eine ip geben die dann bekannt ist und somit kommst du auch im zweifel
an die arp addr drann aber auch nur dann wenn du direkt an den switchen der jeweiligen interfaces angeschlossen bist


ein simuliertes arp spoolfing kannst du mit arp -s produzieren )

holger
 
Alles klar, da kommen wir der Sache schon näher. Erstma vielen Dank für die schnellen Antworten.

Weiß einer von euch ob eine bridge auf einen mac broadcast reagiert. Also sendet dann die bridge ihre mac, oder sendet das device, welches auf der anderen seite der bridge steht die mac.


GrafiK :D :
[router]----[bridge]----[switch]

weiß der switch von diesem setup, oder sieht er es so:

[router]----[switch]

Denn wenn der switch es so sieht wäre es eigentlich unmöglich die mac address rauszubekommen (ohne selbst an den rechner zu gehen)
 
Eine "normaler" Switch ist eine Multiport-Ethernet-Bridge. Dein Schaubild wird also zu:

[router]---

Genauer gesagt sieht der Router die IPs und MACs der anderen PCs im Netz, mehr nicht. Die Clients sehen auch nur die MACs/IPs der anderen Rechner und des Routers. Bridges sind hier "unsichtbar".
 
mark05 schrieb:
eine bridge ist grundsaetzlich nicht zusehen das sie wie ein switch funktioniert .

um diese zu bekommen musst du die mac addr kennen der interfaces die bestandteil
der bridge sind
das kannst du par arp -s mac ip ( schau mal man arp ) ihr von aussen eine ip geben.

nun kannst du natuerlich , wie ich schon sagte , dem einen oder dem anderen bridge
interface eine ip geben die dann bekannt ist und somit kommst du auch im zweifel
an die arp addr drann aber auch nur dann wenn du direkt an den switchen der jeweiligen interfaces angeschlossen bist


ein simuliertes arp spoolfing kannst du mit arp -s produzieren )

holger

Also wenn ich dein Post richtig verstehe, dann kann ich der bridge von aussen eine IP geben. Dazu mal folgendes scenario:

[router]--[bridge]--[switch]--[pc]

+auf der bridge läuft ein ssh der auf *.22 listened
+die bridge hat keine ip

+ich mache ein mac broadcast
+nun kann ich in der CAM table im switch kucken welche macs er hat
+ich nehme die die ich nicht kenne und nehme an es sei die der bridge
+nun gebe ich der bridge von aussen eine ip mit #arp -s mac ip_der_bridge

Nun die Frage der Fragen:
kann ich jetzt mit #ssh user@ip_der_bridge auf die bridge zugreifen (wenn es keine firewall verhindert)??
 
lockdoc schrieb:
Also wenn ich dein Post richtig verstehe, dann kann ich der bridge von aussen eine IP geben. Dazu mal folgendes scenario:

[router]--[bridge]--[switch]--[pc]

+auf der bridge läuft ein ssh der auf *.22 listened
+die bridge hat keine ip

+ich mache ein mac broadcast
+nun kann ich in der CAM table im switch kucken welche macs er hat
+ich nehme die die ich nicht kenne und nehme an es sei die der bridge
+nun gebe ich der bridge von aussen eine ip mit #arp -s mac ip_der_bridge

Nun die Frage der Fragen:
kann ich jetzt mit #ssh user@ip_der_bridge auf die bridge zugreifen (wenn es keine firewall verhindert)??

grins in der therorie ja nur die frage ist wie der ssh reagiert ?
a: weiss ich nicht was der sshd macht wenn er auf einem interface hoeren soll was keine ip hat
b: was der sseh mach wenn er auf einer z.b..s rfc1918 ip hoert und dann einen request bekommt der als dst addr eine andere ip hat.

holger
 
Zurück
Oben