<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<META http-equiv="content-type" content="text/html; charset=iso-8859-1">
<META name="keywords" content="FIREWALL,MASQUERADING,FORWARDING,ROUTING,EINWAHLRECHNER,IPCHAINS">
<META name="title" content="Firewall und Masquerading auf SuSE Linux 6.4">
<title>SDB: Firewall und Masquerading auf SuSE Linux 6.4</title>
</head>
<BODY bgcolor="#FFFFFF" link="#008000" alink="#008000" vlink="#fb8000">
<TABLE width="760" bgcolor="#FFFFFF" border="0" cellspacing="0" cellpadding="0">
<TR>
<TD COLSPAN=3>
<!-- top_nav Template -->
<TABLE cellpadding="0" border="0" cellspacing="0"><TR><TD valign="top"><A href="/de/index.html"><IMG width="140" alt="Home" vspace="0" height="60" src="/de/navigation/images/s_top_logo.gif" border="0" hspace="0"></A></TD><TD valign="top"><IMG width="570" vspace="0" alt="Main Navigation" usemap="#nav" height="60" border="0" hspace="0" src="/de/navigation/images/sdb-main.gif"></TD><TD valign="top"><IMG width="50" alt="Tux is watching you %)" vspace="0" height="60" src="/de/navigation/images/s_top_tux.gif" border="0" hspace="0"></TD></TR>
</TABLE>
<MAP NAME="nav">
<!-- Übersicht -->
<AREA coords="32,29,110,42" href="/de/sdb/html/index.html" shape="rect" alt="Übersicht">
<!-- Suche -->
<AREA coords="111,29,167,42" href="/de/sdb/html/key_form.html" shape="rect" alt="Suche">
<!-- History -->
<AREA coords="168,29,235,42" href="/de/sdb/html/history.html" shape="rect" alt="History">
<!-- Versionen -->
<AREA coords="236,29,324,42" href="/de/sdb/html/versionspage.html" shape="rect" alt="Versionen">
<!-- Kategorien -->
<AREA coords="325,29,424,42" href="/de/sdb/html/katlist.html" shape="rect" alt="Kategorien">
<!-- E-Mail -->
<AREA coords="494,2,531,27" href="mailto:suse@suse.de" shape="rect" alt="E-Mail schreiben">
<!-- Hauptseite -->
<AREA coords="537,2,568,27" href="/de/index.html" shape="rect" alt="Hauptindex">
</MAP>
<!-- /top_nav Template -->
</TD>
</TR>
<TR>
<TD VALIGN=TOP bgcolor="#e9e9e9">
<TABLE cellpadding="0" cellspacing="0" border="0" width="100%">
<TR><TD valign="top" width="163" bgcolor="#e9e9e9" align="center">
<TABLE>
<TR>
<TD>
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>Stichwortsuche in der SDB</B><BR>
</FONT>
<FORM ACTION="http://support.suse.de/cgi-bin/sdbsearch.cgi">
<INPUT TYPE="text" NAME="stichwort" size="15">
</FORM>
<FONT size="2" face="sans-serif,arial,helv,helvetica">
Haben Sie z.B. ein Problem mit Ihrem Modem? Dann geben Sie bitte als Stichwort "Modem" ein.
</FONT>
</TD>
</TR>
</TABLE>
<HR NOSHADE>
<TABLE>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="/de/services/index.html">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Support-Angebot
</B>
</FONT></A>
</TD>
</TR>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="/de/services/isupport.html">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Installationssupport
</B>
</FONT></A>
</TD>
</TR>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="/de/sdb/html/index.html">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Supportdatenbank (SDB)
</B>
</FONT></A>
</TD>
</TR>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="http://cdb.suse.de/">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Hardwaredatenbank (CDB)
</B>
</FONT></A>
</TD>
</TR>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="/de/register/">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Registrierung Ihres SuSE Linux
</B>
</FONT></A>
</TD>
</TR>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="http://www.suse.de/de/support/download/">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Download
</B>
</FONT></A>
</TD>
</TR>
<TR>
<TD valign="middle">
<IMG width="10" alt="* " src="/de/navigation/images/suse_greenball.gif" vspace="0" height="12" border="0" hspace="0">
</TD>
<TD valign="middle"><A href="/cgi-bin/sdb-printpage.pl">
<FONT size="2" face="sans-serif,arial,helv,helvetica">
<B>
Version zum Drucken
</B>
</FONT></A>
</TD>
</TR>
</TABLE>
<TABLE cellpadding="0" cellspacing="0" border="0" align="center">
<TR>
<TD align="center" valign="bottom">
<IMG width="1" alt=" " src="/de/navigation/images/leer.gif" height="30" border="0"><BR>
<A HREF="http://www.suse.de/">
<IMG width="100" alt="Powered by SuSE Linux" vspace="0" height="40" src="/de/navigation/images/powered_by_suse.gif" border="0" hspace="0"></A>
</TD>
</TR>
<TR>
<TD align="left">
<FONT SIZE=-1 COLOR="#008000">
<STRONG>
Linux is a registered <BR>trademark of Linus Torvalds.
</STRONG>
</FONT>
</TD>
</TR>
</TABLE>
</TD></TR>
</TABLE>
</TD>
<TD>
</TD>
<TD VALIGN="TOP" bgcolor="#ffffff">
<H2>Firewall und Masquerading auf SuSE Linux 6.4</H2>
<strong>
<IMG ALT="o " ALIGN=TOP SRC="../../gifs/green1.gif">
<a href=../../../cz/sdb/html/sm_masq2.html>Cesky</a>
</strong><p>
<FORM ACTION="/cgi-bin/sdb-usermail.pl" METHOD="POST">
E-Mail Adresse:<INPUT TYPE="text" size="30" name="mailto" value="">
<INPUT TYPE="submit" name="user" value="zusenden">
<INPUT TYPE="hidden" name="file" value="sm_masq2">
<INPUT TYPE="hidden" name="lang" value="de">
</FORM>
<H5>Supportdatenbank (sm_masq2)</H5>
<strong>Bezieht sich auf</strong><p>
<strong>SuSE Linux</strong>: Versionen 6.4 bis 7.0<br>
<strong>Kernel</strong>: Versionen ab 2.2<br>
<p><h2>Anliegen:</h2>
<p><ul>
<li>1. Sie wollen Rechnern aus einem internen, privaten Netz Zugang zum Internet geben, ohne zusätzliche Filterung.
<li>2. Sie wollen einen Firewall mit gezielter Paketfilterung.
</ul></p>
<h2>Vorgehen:</h2>
<ol>
<li><h3>Reines Masquerading ohne Filterung</h3>
<p>Dieses Vorgehen ermöglicht Rechnern aus dem internen Netz Zugriff aufs Internet, ohne daß eine Filterung stattfindet.</p>
<p>Das Paket ipchains (Serie sec) muß installiert sein.</p>
<p>Die Variable <code>START_FW</code> in <code>/etc/rc.config</code> setzten Sie auf <code>"no"</code>.</p>
<p>Legen Sie die Datei <code>/sbin/init.d/masquerade</code> mit folgendem Inhalt an:</p>
<pre>
#! /bin/sh
. /etc/rc.config
PROG="/sbin/ipchains"
WORLD_DEV="ippp0"
MODULES="ip_masq_autofw ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_mfw \
ip_masq_portfw ip_masq_quake ip_masq_raudio ip_masq_user ip_masq_vdolive"
LOADED_MODULES=$(lsmod|grep ip_masq|cut -d " " -f1)
return=$rc_done
if [ ! -x $PROG ]
then
echo -n "Start masquerading failed- install ipchains"
return=$rc_failed
echo -e "$return"
exit 1
fi
case "$1" in
start)
echo -n "Starting masquerading"
echo "1" > /proc/sys/net/ipv4/ip_forward
$PROG -F || return=$rc_failed
$PROG -A forward -i $WORLD_DEV -j MASQ || return=$rc_failed
for i in $MODULES;do
insmod $i >/dev/null 2>&1 || return=$rc_failed;
done
echo -e "$return"
;;
stop)
echo -n "Shutting down masquerading"
$PROG -F || return=$rc_failed
test "$IP_FORWARD" = no && echo "0" > /proc/sys/net/ipv4/ip_forward
for i in $LOADED_MODULES;do
rmmod $i >/dev/null 2>&1 || return=$rc_failed;
done
echo -e "$return"
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
;;
esac
test "$return" = "$rc_done" || exit 1
exit 0
</pre>
<p>Sie müssen <code>"ippp0"</code> durch das richtige Device ersetzen, mit dem Sie die Verbindung zum Internet herstellen.<br>
Das Verfahren geht natürlich auch genauso mit einem Analogen Anschluß und ppp0</p>
<p>Machen Sie die Datei ausführbar: <code>chmod 700 /sbin/init.d/masquerade</code>.</p>
<p>Legen Sie die entsprechenden Links zum automatischen Starten in den entsprechenden Runlevels an:</p>
<pre>
ln -s ../masquerade /sbin/init.d/rc2.d/S99masquerade
ln -s ../masquerade /sbin/init.d/rc2.d/K51masquerade
ln -s ../masquerade /sbin/init.d/rc3.d/S99masquerade
ln -s ../masquerade /sbin/init.d/rc3.d/K51masquerade
</pre>
<p>Ab dem nächsten Booten können Rechner aus dem internen Netz auf das Internet zugreifen, sofern bei diesen der Masqerading- Rechner als Default- Gateway eingetragen ist.</p>
<li><h3>Firewall mit Paketfilterung</h3>
<p>Hier finden Sie nur eine kurze Beschreibung der Einstellungen in <code>/etc/rc.config.d/firewall.rc.config</code>. </p>
<p>Folgende Pakete müssen installiert sein:</p>
<p><ul>
<p><li> firewals (Serie sec) -> Scripte zum Konfigurieren und Starten des Firewalls<br>
Bitte laden Sie das Update auf firewals 2.1 von <a href="ftp://ftp.suse.com/pub/suse/i386/update/6.4/sec1/firewals.rpm">ftp://ftp.suse.com/pub/suse/i386/update/6.4/sec1/firewals.rpm</a>.</p>
<p><li> ipchains (Serie sec) -> Tool zum aktivieren der Regeln im Kernel</p>
</ul></p>
<p>Die Variable <code>START_FW=</code> in <code>/etc/rc.config</code> setzten Sie auf <code>"yes"</code>, damit die Firewallscripte beim Booten ausgeführt werden.</p>
<p>Wenn Ihr Firewall ein Einwahlrechner mit dynamischen IP-Adressen ist, müssen Sie den Aufruf von <code> /sbin/SuSEfirewall</code> in das Script <code> /etc/ppp/ip-up </code> eintragen.<br>
<ul>
<li>Für ISDN am besten am Ende der Einwahlprozedur, also vor der Zeile:<br>
<code>test -x /etc/ppp/ip-up.local && /etc/ppp/ip-up.local $*</code><br>
<li>und beim Auflegen nachdem das Interface wieder aktiviert wurde, also vor der Zeile:<br>
<code>test -x /etc/ppp/ip-down.local && /etc/ppp/ip-down.local $*</code></p>
</ul>
<p>Alle sonstigen Einstellungen nehmen Sie in <code>/etc/rc.config.d/firewall.rc.config</code> vor.</p>
<p><b> Bitte beachten Sie unbedingt die folgenden Hinweise: </b></p>
<p> Für die Konfiguration, Einrichtung und Wartung Ihres Firewalls können wir Ihnen keine Hilfestellung im Rahmen des Installationssupports gewähren.</p>
<p> Lesen Sie auch unbedingt die Dokumentation unter <code>/usr/doc/packages/firewals</code> und im Handbuch Kapitel 6.7 und 18.
<p> Wenn Sie nur diese Einstellungen vornehmen und SuSEfirewall verwenden, ist Ihr System aber keineswegs per se sicher!<br>
Es gibt keine Lösung die Sie einfach installieren und damit vor allem Bösen aus dem Netz geschützt sind.</p>
Um die Sicherheit eines Firewall-Servers weiter zu erhöhen, sollten Sie:
<ul>
<li> Alle Dienste an unsichere Netze (z. B. das Internet) minimieren. Nur als sicher geltende Programme verwenden (z. B. postfix, apop3d, ssh etc.) und diese sorgfältig konfigurieren; und Sie müssen darauf hoffen, dass diese Programme wirklich keine Sicherheitslöcher aufweisen. Alle Dienste sollten möglichst NICHT unter "root" aufgeführt werden, und außerdem in einem "chroot"-Umfeld laufen.
<li> Vertrauen Sie keiner Software, die Sie nicht selbst geprüft haben (und jetzt noch die schwierige Fragestellung: Können Sie den SuSE CDs oder fremden FTP-Servern trauen?).
<li> Benutzen Sie das Skript "harden_suse" aus dem Paket "hardsuse".
<li> Kompilieren Sie einen neuen Kernel, bei dem Sie alle Sicherheitsoptionen angewählt haben. Benutzen Sie den openwall-linux Kernel-Patch (vormals secure-linux Patch, von Solar Designer).
<li> Prüfen Sie regelmäßg die Integrität des Servers.
<li> Wenn Sie den Firewall/Bastion-Server als Masquerading, oder schlimmer, als Routing Server verwenden wollen, so sollten Sie prüfen, ob nicht Proxy-Dienste genutzt werden können, z.B. Squid für WWW, smtpd für Mail etc. (Denken Sie auch hier bitte an "chroot" und lassen Sie die Prozesse nicht unter root laufen.); stellen Sie das Routing auf dieser Maschine ab.
</ul>
<h4>Die Konfiguration geschieht nach folgenden möglichen Varianten:</h4>
<p><ul>
<li>Ihr Rechner ist nur mit <b>einer</b> Schnittstelle ans Netz angeschlossen:<br>
Sie müssen ausschließlich Option 2 anpassen, und nach Bedarf 9, 11 und 17. Alle anderen Voreinstellungen sind in Ordnung.<br>
<li>Ihr Rechner ist ein Firewall, der nur als Proxy fungiert. D.h. es soll kein direktes Routing zwischen den Netzwerkschnittstellen stattfinden:<br>
Sie müssen die Optionen 2, 3 und 9 anpassen, und nach Bedarf 7, 10, 11, 12 und 17. Die Proxy- Dienste müssen natürlich auch konfiguriert werden.<br>
<li>Ihr Rechner ist ein Firewall, der aktiv zwischen dem "sicheren" und dem "unsicheren" Netz routen soll:<br>
Sie müssen die Optionen 2, 3, 5, 6, 9 anpassen, und nach Bedarf 7, 10, 11, 12 und 17.<br>
<li>Falls Sie ein DMZ ("Demilitarisierte Zone") in eine der genannten Konfigurationen einbinden wollen, so müssen Sie zusätzlich die Optionen 4, 9, 13 und eventuell 18 anpassen. Gemeint ist damit ein Rechner/ Netz der getrennt vom internen Netz über den Firewall von außen erreichbar sein soll.
<li>Die Optionen 8, 14, 15, 16, 18, 19, 20 und 21 sollten Sie am besten in der Standardeinstellung belassen oder nur ändern, wenn Sie genau wissen was Sie tun.
</ul></p>
<h4>Die Optionen im einzelnen:</h4>
<ul>
<p><li><b> 2: </b><code>FW_DEV_WORLD</code><br>
Hier tragen Sie alle Netzwerkschnittstellen ein, die auf der äußeren, "unsicheren" Seite des Rechners liegen, also mit dem Internet verbunden sind.<br>
Die Einträge werden durch Leerzeichen getrennt.<br>
z.B.: <code>FW_DEV_WORLD="ippp0"</code>
</p>
<p><li><b> 3: </b><code>FW_DEV_INT</code><br>
Hier tragen Sie alle Netzwerkschnittstellen ein, die auf der inneren, "sicheren" Seite des Rechners liegen, also Ihr privates Netz. Falls es ein Einzelrechener ist lassen Sie diese Option leer.<br>
Die Einträge werden durch Leerzeichen getrennt.<br>
z.B.: <code>FW_DEV_INT="eth0"</code>
</p>
<p><li><b> 4: </b><code>FW_DEV_DMZ</code><br>
Hier tragen Sie die Netzwerkschnittstelle ein, an der Ihr DMZ angebunden ist. Falls Sie keines haben, lassen Sie diese Option leer.<br>
Damit ist ein Rechner/ Netzwerk gemeint, das nur über den Firewall ans Internet angeschlossen ist und Dienste (WWW, Mail...) nach außen anbieten soll.<br>
Dieser muß eine offizielle IP-Adresse haben, die über Ihren Firewall geroutet wird.<br>
Um diesen Dienst zur Verfügung zu stellen müssen Sie auch <code>FW_ROUTE</code> auf "yes" setzen und das Forwarding der angebotenen Dienste mit <code>FW_FORWARD_TCP</code> und <code>FW_FORWARD_UDP</code> erlauben.<br>
z.B.: <code>FW_DEV_INT="eth2"</code>
</p>
<p><li><b> 5: </b><code>FW_ROUTE</code><br>
Setzen Sie diese Option nur auf <code>"yes"</code>, wenn Sie eine <b>direkte</b> Verbindung (ohne Proxy- Dienste auf dem Firewall) zwischen Rechnern aus dem internen Netz, dem Internet und/ oder dem DMZ zulassen wollen.<br>
Diese Option ist nötig, um aus dem Internet eine Verbindung zum DMZ herzustellen, Zugriff aus dem Internet ins interne Netz zuzulassen ist nicht zu empfehlen.<br>
Diese Option alleine macht noch gar nichts: Sie müssen noch entweder Masquerading mit <code>FW_MASQUERADE</code> aktivieren oder mit <code>FW_FORWARD_*</code> konfigurieren, welche Dienste weitergeleitet werden sollen.<br>
Diese Option wiegt mehr als <code>IP_FORWARD</code> in <code>/etc/rc.config</code>.
</p>
<p><li><b> 6: </b><code>FW_MASQUERADE</code>, <code>FW_MASQ_NETS</code> und <code>FW_MASQ_DEV</code><br>
<ul>
<li><code>FW_MASQUERADE</code> Diese Option setzen Sie auf "yes", wenn Rechner aus dem internen Netz <b>mit privaten IP- Adressen</b> (z.B.: 192.168.x.x) <b>direkten</b> Zugang zum Internet ohne Proxy- Dienste haben sollen.<br>
Dadurch werden die privaten IP- Adressen nach außen hin durch die offizielle IP- Adresse vom Firewall/ Router ersetzt. So hat es für Rechner im Internet den Anschein, der Dienst würde vom Firewall selber angefordert. Rückwärts werden die Adressen wieder auf die privaten umgesetzt.<br>
Bitte bedenken Sie, daß die Benutzung von Proxy- Diensten sicherer ist, als Masquerading.<br>
Um Masquerading zu nutzen müssen auch <code>FW_DEV_INT</code>, <code>FW_MASQ_NETS</code>, <code>FW_MASQ_DEV</code> und <code>FW_ROUTE="yes"</code> gesetzt sein.
<li><code>FW_MASQ_NETS</code> Tragen Sie hier alle Rechner/ Netze ein, die per Masquerading Zugriff auf Internet erhalten sollen.<br>
Die Einträge werden durch Leerzeichen getrennt z.B.:<br>
<ul>
<li><code>FW_MASQ_NETS="192.168.1.1 192.168.2.0/24"</code> für den Rechner 192.168.1.1 und das Class C Netz 192.168.2.x .
<li>Setzen Sie diese Option nicht auf 0/0 !
</ul>
<li><code>FW_MASQ_DEV</code> Hier sollten Sie die ausgehende Schnittstelle angeben, an der maskiert werden soll.<br>
Normalerweise: <code>FW_MASQ_DEV="$FW_DEV_WORLD"</code>
</ul>
</p>
<p><li><b> 7: </b><code>FW_PROTECT_FROM_INTERNAL</code><br>
Wenn diese Option auf <code>"yes"</code> gesetzt ist, können Rechner aus internen Netzen nur auf ausdrücklich freigegebene Dienste (<code>FW_*_SERVICES_INTERNAL</code>) des Firewalls zugreifen.<br>
Wenn diese Option auf <code>"no"</code> gesetzt ist, kann jeder Benutzer aus dem internen Netz zum Firewall verbinden und diesen angreifen.<br>
Um diese Option zu nutzen muß auch <code>FW_DEV_INT</code> gesetzt sein.
</p>
<p><li><b> 8: </b><code>FW_AUTOPROTECT_GLOBAL_SERVICES</code><br>
Diese Option sichert Dienste (TCP und UDP), die an <b>allen</b> Netzwerkadressen des Firewalls (nicht nur an speziell definierten) auf Verbindung warten.<br>
z.B.: <code>0.0.0.0:23</code> wird gesichert, jedoch <code>10.0.0.01:53</code> nicht.<br>
Diese Option kann für einzelne Dienste mit den Optionen <code>FW_*_SERVICES_*</code> deaktiviert werden.
</p>
<p><li><b> 9: </b><code>FW_SERVICES_*</code><br>
Hier tragen Sie alle Dienste auf Ihrem Firewall- Rechner ein, die von den entsprechenden Netzwerken genutzt werden dürfen.<br>
Wollen Sie <b>alle</b> Dienste nach innen freigeben, setzen Sie <code>FW_PROTECT_FROM_INTERNAL="no"</code><br>
Mögliche Eingaben sind (durch Leerzeichen getrennt):<br>
<ul>
<li>Einzelne Portnummern, z.B.: <code>"123 524"</code> für die Ports 123 und 524.
<li>Ganze Portbereiche, z.B.: <code>"3200:3299"</code> für alle Ports von 3200 bis 3299.
<li>Namen von Diensten, die über <code>/etc/services</code> aufgelöst werden können, z.B.: <code>"smtp telnet"</code>.
<li>Sie können alle drei Möglichkeiten miteinander kombinieren.
</ul>
</p>
<p><li><b> 10: </b><code>FW_TRUSTED_NETS</code> und <code>FW_SERVICES_TRUSTED_*</code>.<br>
<ul>
<li><code>FW_TRUSTED_HOSTS</code>: Rechner/ Netze aus dem Internet denen Sie vertrauen und die Zugriff auf bestimmte interne Dienste bekommen sollen.<br>
Die Einträge werden durch Leerzeichen getrennt z.B.:<br>
<code>FW_TRUSTED_HOSTS="192.168.1.1 192.168.2.0/24"</code> für den Rechner 192.168.1.1 und das Class C Netz 192.168.2.x .
<li><code>FW_SERVICES_TRUSTED_*</code> bestimmen die Dienste auf Ihrem Firewall, auf die diese Rechner/ Netze Zugriff erhalten.<br>
Die Ports/ Portbereiche werden nach den selben Regeln eingetragen wie in <b>9</b>.
</ul>
</p>
<p><li><b> 11: </b><code>FW_ALLOW_INCOMING_HIGHPORTS_*</code><br>
Hier geben Sie an, wie aus dem Internet auf die unprivilegierten Ports des Firewalls (über 1023) zugegriffen werden darf.<br>
<ul>
<li>Entweder jeder darf <code>"yes"</code>, keiner darf <code>"no"</code> oder:
<li>Anfragen von bestimmten Ports sollen zugelassen werden (das ist leicht zu umgehen):<br>
Tragen Sie diese direkt ein, oder benutzen Sie die Namen, die über <code>/etc/services</code> aufgelöst werden können.<br>
<li><code>FW_ALLOW_INCOMING_HIGHPORTS_UDP</code> sollte <code>"dns"</code> enthalten, damit Ihre in <code>/etc/resolv.conf</code> eingetragenen Nameserver Anfragen beantworten können.
<li>Um FTP im aktiven Modus zu nutzen muß <code>"ftp-data"</code> in <code>FW_ALLOW_INCOMING_HIGHPORTS_TCP</code> eingetragen sein. <br>
Zu empfehlen ist jedoch, diese Option leer zu lassen und FTP im passiven Modus zu benutzen
<li>RPC- Dienste wie showmount oder rpcinfo als root können nicht benutzt werden.
</ul>
</p>
<p><li><b> 12: </b><code>FW_SERVICE_*</code><br>
Diese Optionen stellen Sie auf <code>yes</code>, wenn Sie den entsprechenden Dienst auf dem Firewall anbieten/ benötigen.
<ul>
<li> <code>FW_SERVICE_DNS</code> stellen Sie auf <code>yes</code>, wenn Sie einen Nameserver auf dem Firewall betreiben.<br>
Dann müssen Sie auch in <code>FW_SERVICES_*_*</code> für das entsprechende Netz den Port 53 freigeben (oder <code>domain</code>), von dem aus Anfragen gestellt werden dürfen.
<li> <code>FW_SERVICE_DHCLIENT</code> stellen Sie auf <code>yes</code>, wenn Sie den DHCP-Client auf dem Firewall benutzen müssen.
<li> <code>FW_SERVICE_DHCPD</code> stellen Sie auf <code>yes</code>, wenn Sie einen DHCP- Server auf dem Firewall betreiben.</code>
</ul>
</p>
<p><li><b> 13: </b><code>FW_FORWARD_*</code><br>
Hier können Sie angeben, ob aus dem Internet auf interne Rechner oder das DMZ zugegriffen werden soll.<br>
<ul>
<li>Da dies eine direkte Verbindung in Ihr internes Netz öffnet, sollten Sie diese Möglichkeit nur für Ihr DMZ nutzen.
<li>Die internen Rechner benoetigen hierzu eine feste, <b>nicht private</b> IP- Adresse.
<li>Eine forward- Regel besteht aus dem Rechner/ Netz, das den Zugriff erhalten soll, der IP-Adresse des internen Rechners, auf den Zugegriffen werden soll und dem Port auf diesem Rechner.
<li>Die drei Teile einer Regel werden durch Kommas getrennt, zwei Regeln werden durch Leerzeichen getrennt.
<li>z.B. leitet die Regel <code>"12.12.12.0/24,13.13.13.13,25"</code> Zugriffe aus dem externen Netz 12.12.12.0/24 auf den Port 25 des internen Rechners 13.13.13.13 weiter.
</ul>
</p>
<p><li><b> 15: </b><code>FW_LOG_*</code><br>
Diese Optionen legen fest, welche Pakete mitgeloggt werden.
</p>
<p><li><b> 16: </b><code>FW_KERNEL_SECURITY</code><br>
Diese Option aktiviert zusätzliche sicherheitsrelevante Kerneloptionen.<br>
Tip: Setzen Sie diese Option während der Testphase auf "no" und erst wenn sonst alles funktioniert wieder auf "yes".
</p>
<p><li><b> 17: </b><code>FW_STOP_KEEP_ROUTING_STATE</code><br>
Wenn Sie diald oder ISDN per autodial zur Einwahl benutzen sollten Sie diese Option auf <code>yes</code> setzen.<br>
Dadurch wird beim Entladen der Regeln das Routing nicht abgestellt, damit eine neue automatische Einwahl erfolgen kann.<br>
Bitte beachten Sie daß das dies nicht besonders sicher ist: Wenn die Regeln entladen werden, Sie aber immer noch eingewählt sind können Sie damit Zugriffe auf das interne Netz ermöglichen.<br>
Es kann je nach Konfiguration auch sein, daß Sie diese Option benötigen um Ihr DMZ zu errreichen.<br>
Die Option <code>FW_ROUTE=yes</code> muß natürlich gesetzt sein.
</p>
<p><li><b> 18: </b><code>FW_ALLOW_PING_*</code><br>
Diese Variablen bestimmen, ob Pings aus dem Internet vom Firewall und/oder vom DMZ beantwortet werden sollen.<br>
<code>"yes"</code> oder <code>"no"</code>.
</p>
</ul>
<p>Folgende Optionen sollten Sie auf den Standardeinstellungen belassen oder nur ändern, wenn Sie genau wissen was Sie tun:</p>
<ul>
<p><li><b> 14: </b><code>FW_REDIRECT_*</code><br>
Hier können Sie angeben, welche Dienste auf andere lokale Ports umgeleitet werden sollen. So können Sie z.B. alle internen User ohne ihr Zutun dazu bewegen, nur über den Proxyserver zu surfen, oder Webserveranfragen von außen können an einen sicheren internen Webserver weitergeleitet werden.<br>
<ul>
<li>Eine Regel besteht aus der Quelladresse, der Zieladresse, dem ursprünglichem Port der Anfrage und dem Port, an den umgeleitet werden soll.
<li>Die vier Teile einer Regel werden durch Kommas getrennt, zwei Regeln werden durch Leerzeichen getrennt.
<li>z.B. leitet die Regel <code>192.168.0.0/24,0/0,80,3128</code> alle ausgehenden Webanfragen aus dem internen Netz 192.168.0.0/24 an den Port 3128 von Squid auf dem Firewall um.
</ul>
</p>
<p><li><b> 19: </b><code>FW_ALLOW_FW_TRACEROUTE</code><br>
Diese Variable bestimmt, ob der Firewall ICMP time-to-live-exceeded Antworten verschickt.<br>
Diese werden von traceroute auf den Firewall-Rechner benötigt.<br>
Bitte beachten Sie:
<ul>
<li>Unix traceroute benötigt zusätzlich <code>FW_UDP_ALLOW_INCOMING_HIGHPORTS</code> gesetzt.
<li>Windows traceroute benötigt <code>FW_ALLOW_FW_PING="yes"</code>
</ul>
</p>
<p><li><b> 10: </b><code>FW_TCP_SERVICES_EXTERNAL</code> und </b><code>FW_UDP_SERVICES_EXTERNAL</code><br>
Hier tragen Sie alle internen Dienste ein, auf die Zugriff vom Internet aus zugelassen werden soll (unsicher).<br>
TCP basierte Dienste (smtp, www, etc.) in <code>FW_TCP_SERVICES_EXTERNAL</code><br>
UDP basierte Dienste (syslog etc.) in <code>FW_UDP_SERVICES_EXTERNAL</code><br>
<li>
Die Dienste werden eingetragen wie in <b>11</b>.
</p>
<p><li><b> 21: </b><code>FW_MASQ_MODULES</code><br>
Hier können Sie festlegen, welche Masquerading Module geladen werden sollen.<br>
<ul>
<li>Möglichkeiten: autofw, cuseeme, ftp, irc, mfw, portfw, quake, raudio, user, vdolive
<li>Die Modulnamen werden durch Leerzeichen getrennt.
<li>Um Masquerading zu benutzen müssen auch <code>FW_ROUTE</code> und <code>FW_MASQUERADE</code> gesetzt sein.
</ul>
</p>
</ul>
</ol>
<HR>
<strong>Siehe auch:</strong>
<ul>
<IMG ALT="o " ALIGN=TOP SRC="../../gifs/green1.gif">
<a href="mneden_6.3_masquerade.html">Masquerading/Firewalling auf SuSE Linux 6.3</a><br>
</ul>
<HR>
<strong>Stichwörter:</strong> <a href=keylist.FIREWALL.html>FIREWALL</a>, <a href=keylist.MASQUERADING.html>MASQUERADING</a>, <a href=keylist.FORWARDING.html>FORWARDING</a>, <a href=keylist.ROUTING.html>ROUTING</a>, <a href=keylist.EINWAHLRECHNER.html>EINWAHLRECHNER</a>, <a href=keylist.IPCHAINS.html>IPCHAINS</a><br>
<HR>
Feedback willkommen: <a href="mailto:sm@suse.de?subject=SDB-sm_masq2">Send Mail to sm@suse.de</a> (Geben Sie bitte folgendes Stichwort an: <code>SDB-sm_masq2</code>)
<HR>
<ADDRESS>
SDB-sm_masq2, Copyright <a href="http://www.suse.de/">SuSE GmbH</a>, Nürnberg, Germany
- Version: 25. Apr 2000
<br><A HREF="http://www.suse.de/de/suse/index.html">SuSE GmbH</A> - Zuletzt generiert: 20. Sep 2000 von sm (sdb_gen 1.20.0)
</ADDRESS>
<!-- footer Template -->
<TABLE cellpadding="0" border="0" cellspacing="0" width="594">
<TR>
<TD align=right valign=top>
<A href="#top"><IMG width="570" align="right" alt="suse_page_top" vspace="0" src="/de/navigation/images/suse_page_top.gif" border="0" hspace="0"></A>
</TD>
</TR>
<TR>
<TD align=right>
<FONT size="1" color="#000000" face="sans-serif,arial,helv,helvetica">
Page created by <A href="mailto:webmaster@suse.de">webmaster@suse.de</A>
</FONT>
</TD>
</TR>
</TABLE>
<!-- /footer Template -->
</PRE>
</TD>
</TR>
</TABLE>
</BODY>
</HTML>