Welche IPFW-Regeln für cvsup, portupgrade?

  • Thread starter Thread starter ww
  • Start date Start date

ww

Well-Known Member
Hallo zusammen,

ich bin gerade dabei, ein Ruleset für eine IPFirewall zu schreiben. Bei der Maschine geht es um einen schlichten Webserver, auf dem Apache, Postfix (SMTP, POP), SSH, SSL läuft und sonst nichts (Telnet, FTP o.ä.), was einen externen Zugriff benötigen würde.

Später möchte ich "mein" Ruleset der interessierten Öffentlichkeit :-) vorstellen, habe aber jetzt zwei Fragen zum Verständnis:

1. NAT brauche ich doch nicht, oder? Das macht imho nur Sinn, wenn der Rechner als Gateway benutzt wird??
2. Welche Regeln muß ich definieren, damit die FW transparent ist für cvsup und portupgrade?

Gerne auch ein herzhaftes rtfm http://xyz...

Schönen Dank,
slatat2m
 
slatat2m said:
1. NAT brauche ich doch nicht, oder? Das macht imho nur Sinn, wenn der Rechner als Gateway benutzt wird??
Einerseits das, oder wenn du Dienste auf Rechnern im internen Netz von außen erreichbar machen möchtest, z.B. ein Webserver, denn der muss ja nicht unbedingt auf dem Gateway laufen.

slatat2m said:
2. Welche Regeln muß ich definieren, damit die FW transparent ist für cvsup und portupgrade?
Das ist ein wenig komplizierter, denn dazu muss man wissen, wie TCP/IP funktioniert bzw. über die Zustände Bescheid wissen. Im Prinzip reicht's, wenn man ausgehende Pakete erlaubt und alle eingehenden, die zu einer bestehenden Verbindung gehören (established). Wenn du magst kannst du mal in mein flüchtig zusammengeschustertes Firewall-Skript reinschauen:

http://alpha-tierchen.de/dateien/etc/rc.firewall.html

Ich hatte leider noch keine Zeit das mal ordentlich zu machen. Empfehlens wert ist auch, sich mal die ganze(!) Manpage von ipfw durchzuarbeiten. Wenn man es jetzt nicht will, weil einem das zu viel ist, dann macht man es später sowieso freiwillig, weil man die ganzen Features kennenlernen will. ;-)

Gruß Björn
 
Last edited:
Back
Top