Ratgeber Firewall
FORWARD-Kette
Da Regeln in der Reihenfolge ausgewertet werden, in der sie sich in einer Kette befinden, platzieren wir unsere geschäftigsten Regeln am Anfang. Die ersten drei Regeln in der FORWARD-Kette lassen Verbindungen durch die Firewall zu Netzwerkdiensten auf 10.1.1.2 zu. Explizit lassen wir SSH (Port 22), HTTP (Port 80) und HTTPS (Port 443) den Weg zu unserem Webserver passieren. Die erste Regel lässt alle Verbindungen durch die Firewall hindurch, die aus dem vertrauenswürdigen Netz stammen.
iptables -A FORWARD -i eth0 -p ANY -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 443 -j ACCEPT
Der einzige TCP-Verkehr, den wir zu unserem Firewall-Host (10.1.1.1) gestatten, ist SSH. Dies ist nützlich, um die Firewall zu verwalten. Die zweite Regel, die unten aufgeführt ist, gestattet Loopback-Verkehr, der für unseren Firewall-Host lokal bleibt. Unsere Administratoren werden nervös, wenn sie kein ping für ihre Standardroute ausführen können. Daher erlaubt die dritte Regel ICMP ECHO_REQUEST-Pakete von internen IP-Adressen.
iptables -A INPUT -i eth0 -d 10.1.1.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i lo -d 127.0.0.1 -p ANY -j ACCEPT
iptables -A INPUT -i eth0 -d 10.1.1.1 -p icmp --icmp- type 8 -j ACCEPT
iptables -A INPUT -i lo -d 127.0.0.1 -p ANY -j ACCEPT
iptables -A INPUT -i eth0 -d 10.1.1.1 -p icmp --icmp- type 8 -j ACCEPT
Damit ein TCP/IP-Host richtig im Internet funktioniert, müssen bestimmte Arten von ICMP-Paketen durch die Firewall hindurchgelassen werden. Die folgenden acht Regeln lassen einen minimalen Satz von ICMP-Paketen zum Firewall-Host sowie zum Netzwerk dahinter durch.
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 3 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 5 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 11 - j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 3 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 5 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 11 - j ACCEPT
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 5 von 7
Nächste Seite
