[linux-l] Firewall einrichten
Boris Kirkorowicz
borisbelug at kirk.de
Di Okt 11 12:28:06 CEST 2022
Hallo,
um das Thema Firewall habe ich mich bisher gedrückt und die vorgegebenen
Einstellungen der Distris als passend übernommen. Das möchte ich nun
ändern, und zwar anlässlich eines Servers, der
1. keinen Kontakt zum Internet haben
2. intern für ssh, ftp, vsftp, rsync (kein smb) freigeschaltet werden
3. den dediziert angeschlossenen Plattenstapel eines Synology NAS per
iSCSI nutzen
soll. Es ist also mein unbelecktes Erstlingswerk. Das Ganze läuft unter
openSUSE Tumbleweed (Textmode), die Firewall ist mit yast recht einfach
zu bedienen.
Zu
1.: mit einem Bein (1G Eth, feste IP) hängt der Server im lokalen Netz,
der Router ist eine FRITZ!Box auf 192.168.1.1
Kann ich auf dem Server den Router sperren, oder muss ich mich auf die
sperren-Funktion der FRITZ!Box verlassen?
2.: Die Dienste kann ich ja in einer Zone aus der langen Liste einfach
auswählen und diese Zone der Schnittstelle zuordnen. Dabei stellt sich
die Frage, welche Zone da am besten geeignet wäre. Die Defaults sehen so
aus:
Zone Dienste
"""" """""""
block
dmz
ssh
drop
external
ssh
home
dhcpv6-client
mdns
samba-client
ssh
internal
dhcpv6-client
mdns
samba-client
ssh
libvirt
dhcp
dhcpv6
dns
ssh
tftp
nm-shared
dhcp
dns
ssh
public (default)
dhcpv6-client
ssh
tftp
vsftp
trusted
work
dhcpv6-client
ssh
Die Frage ist dabei, welche der Zonen ich wählen sollte, um sie
entsprechend anzupassen. Dabei möchte ich mich möglichst an übliche
Gepflogenheiten halten, damit auch andere Personen sich auf Anhieb ohne
langes Suchen zurechtfinden.
Zweite Frage: genügt es, die erlaubten Dienste einzutragen, oder sollte
ich besser die Ports (TCP/UDP) einzeln eintragen, oder beides?
3.: Dieselben Fragen stellen sich auch für den 10G Eth Anschluss für die
iSCSI-Platten, und zusätzlich: sollte ich dafür eine eigene Zone neu
anlegen, und falls ja: wie wird diese gängigerweise benannt?
--
Mit freundlichem Gruß Best regards
Kirkorowicz
Mehr Informationen über die Mailingliste linux-l