linux-l: Firewall SUSE 5.2

[thomsen at cs.tu-berlin.de]

In message <356C14B4.452AE544 at lr-online.de>, Frank Schreiber writes:
> Hallo,
> 
> ich moechte eine Firewall einrichten.
> Jetzt habe ich im YAST die notwendigen Einstellungen gemacht.
Vorsicht! Schaue Dir an, was daraus geworden ist (`ipfwadm -Ile` etc.).
Auch moechte ich einen Test von aussen empfehlen. Wenn Du keinen shell
login 'draussen' im Internet hast, probiere es erst mit einer 
Verbindung (PPP oder 2.Ethernetkarte) zu einem weiteren lokalem Rechner.

> Der squid laeuft und ich komme vom internen Netz ins Internet.
> Jetzt meine Frage, wo und wie kann ich einzelnen IP-Nr.
> etwas erlauben z.B. www, ftp  oder telnet.....
> Ich habe jetzt im Linux-Magazin 11/97 einen Beitrag über Firewalls
> gefunden.
> Dort werden Perl-Skripte vorgestellt und eine Grundkonfiguration
> "start_firewall". Kann mir jemand sagen, ob es so etwas auch in
> Verbindung mit YAST (SUSE 5.2) gibt? 
Zur SuSE 5.2 gehoert ein Firewall paket, das rudimentaere Scripte enthaelt
(/etc/rc.d/firewall, /etc/rc.d/masquerading), die Konfigurationsdateien
(/etc/rc.config, /etc/rc.d/fw-ssh) auslesen, welche 'per Hand', also mit
einem beliebigen Text Editor oder auch (teilweise) ueber yast manipuliert
werden koennen.

> Oder muss man die einzelnen Skripte
> sich selbst erstellen. Ich wuerde mich freuen, wenn mir jemand quellen
> oder seine Erfahrungen mir YAST und Firewall mitteilen koennte.
Hmhh, ich bin neu in der SuSE Welt (mein Chef hat die falsche CD gekauft ;)
aber die 'Firewall' (es wird nur packet-filtering betrieben) gefaellt mir
wenig. Die default-policy ist 'accept' (ich wuerde immer mit 'deny' anfangen!
Allerdings sollte man dann direkt an der Console, oder ueber ein serielles
Terminal arbeiten :-) Auch ist mir das nicht auf anhieb gelungen zu aendern.
Ein Aufruf von `/etc/rc.d/firewall stopp` oeffnet sie komplett, anstatt sie
zu schliessen (single user mode?). Auch konnte ich mich immer noch von aussen
via telnet einloggen. Die Konfigurationsdateien akzeptieren fuer das 
'LOCALNET' sowohl 192.168.0.0 (i.d.Z. falsch!), als auch 192.168.0.0/24
(richtig). Die scripte schuetzen also nicht vor Fehlbedienung.

Ich benutzte zum ersten Mal vorgefertigte, konfigurierbare scripte (weil sie 
zur Distribution gehoerten).  Vormals schrieb ich jeweils ein shell script
das ein paar aliases und die ipfwadm Anweisungen enthielt. Da man sich eh,
sehr viel laenger mit dem gruebeln ueber die Regeln beschaeftigt, als mit
dem einhacken, der ipfwadm Anweisungen (auch wenn es Dutzende sein moegen),
sehe ich nicht die Notwendigkeit von scripten. Sie gaukeln eher Sicherheit
vor (wenn man alles selbst macht, weiss man das man es testen muss).

Guenther