SDB:YaST-SuSEfirewall2-Funktionsablauf

(Weitergeleitet von SuSEfirewall2)
Wechseln zu: Navigation, Suche
'SuSEfirewall2 ist ein Stateful_Packet_Inspection - Netzwerkpaketfilter, auch als Firewall bekannt. Es ist ein Skript, das aus der in der Datei /etc/sysconfig/SuSEfirewall2 gespeicherten Konfiguration Regeln für iptables erstellt. SuSEfirewall2 schützt Sie vor Netzwerkangriffen, indem es einige ungewollte Pakete, die ihr Netzwerk erreichen, ablehnt oder verwirft.
Getestet mit openSUSE Empfohlene Artikel Verwandte Artikel
Icon-checked.png

Icon-manual.png Icon-help.png

Funktion

Für eine fortgeschrittene Konfiguration bietet die Firewall drei verschiedene Zonen an, denen Sie ihre Netzwerkschnittstellen zuweisen können. Dies ermöglicht es SuSEfirewall2 als Netzwerk-Router zwischen drei verschiedenen Netzwerken zu agieren oder etwa ein LAN-Server zu sein, der Masquerading in das Internet (oder ein anderes Netzwerk) anbietet.

 +--------------------+
 | jede Firewall-Zone |
 +----------+---------+
            |
            +--> [ Hat zugewiesene Netzwerkschnittstellen ]
            |
            +--> [ Definiert erlaubte Dienste ]

Konfiguration

Um eine SuSEfirewall2 zu konfigurieren, bearbeiten Sie entweder

  • die Datei /etc/sysconfig/SuSEfirewall2 manuell und rufen
 /sbin/SuSEfirewall2

auf, oder

Beachten Sie bitte, dass das aktuelle YaST-Firewall-Modul weder alle Einstellungen der Firewall anzeigt noch die Konfiguration aller Einstellungen ermöglicht. Dies umfasst zumindest die Konfiguration von reject (zumindest eine ist standardmäßig aktiviert).

Funktionen

Obwohl SuSEfirewall2 viele Funktionen hat, kann YaST offensichtlich nicht alle konfigurieren. Die Konfigurationsdatei selbst enthält alle nötige Dokumentation für jede einzelne Funktion.

Wenn eine bestimmte Variable die Angabe von mehreren Einträgen erlaubt, werden diese durch ein Leerzeichen getrennt.

 Beispiel:
 FW_VARIABLE="Wert1 Wert2 Wert3,mit,weiteren,Parametern"

Firewall-Zonen

SuSEfirewall2 hat drei verschiedene Zonen:

  • EXT - Extern (nicht vertrauenswürdig, Internet) FW_DEV_EXT
  • INT - Intern (vertrauenswürdig) FW_DEV_INT
  • DMZ - Demilitarisiert FW_DEV_DMZ

Weisen Sie ihre Netzwerkschnittstellen je nach Bedarf bestimmten Zonen zu. Wenn Sie nur eine Netzwerkschnittstelle haben, ist es eine gute Wahl, es der externen Zone zuzuweisen. Eine Netzwerkschnittstelle wird einer Zone zugewiesen, indem man den Schnittstellennamen der entsprechenden Variable hinzufügt.

 Beispiele:
 FW_DEV_EXT="eth-id-00:e0:4c:9f:61:9a"
 FW_DEV_EXT="any eth-id-00:e0:4c:9f:61:9a"
 FW_DEV_INT="eth5 eth6"

Die externe Zone verfügt außerdem über eine besondere Sicherheitsfunktion. Wenn Sie dort die Zeichenkette any einfügen, werden alle Netzwerkschnittstellen, die nicht explizit einer anderen Zone zugewiesen sind (oder in Zukunft nicht mehr zugewiesen sind), korrekt der externen Zone zugewiesen.

Zugriff auf Dienste erlauben

Jede Firewall-Zone kann vier Diensttypen erlauben.

  • TCP - FW_SERVICES_EXT_TCP, FW_SERVICES_INT_TCP, FW_SERVICES_DMZ_TCP
  • UDP - FW_SERVICES_EXT_UDP, FW_SERVICES_INT_UDP, FW_SERVICES_DMZ_UDP
  • RPC - FW_SERVICES_EXT_RPC, FW_SERVICES_INT_RPC, FW_SERVICES_DMZ_RPC
  • IP - FW_SERVICES_EXT_IP, FW_SERVICES_INT_IP, FW_SERVICES_DMZ_IP

TCP- und UDP-Dienste können durch die Port-Nummer, den Port-Namen (eine aktuelle Zuweisung finden Sie auf ihrem System in der Datei /etc/services) oder durch einen Port-Bereich, bestehend aus zwei durch einen Doppelpunkt getrennte Port-Nummern, definiert werden.

 Beispiele:
 FW_SERVICES_EXT_TCP="ssh"
 FW_SERVICES_EXT_TCP="ftp 22 telnet 512:514"
 FW_SERVICES_EXT_UDP="631 400:405"

Masquerading

... Beispiel:

  • Erlaubt dem Netzwerk auf der internen Schnittstelle den vollen Zugriff auf das Netz.
  • Erlaubt dem DMZ-Netzwerk vollen Zugriff auf das Netz.
 FW_MASQ_NETS="10.1.1.0/24 192.168.1.0/24"

Weiterleitung zu Masqueraded Hosts

...

Transparente Umleitung

...

Protokollierung

...

HTB - Maximale Sendegeschwindigkeit ausreizen

...

IPv6

Die Konfiguration des Internet Protocol version 6 (IPv6) hat die folgenden Elemente:

  • IPv6-Unterstützung - FW_IPv6 (yes/no)
  • IPv6-ausgehend Konfiguration - FW_IPv6_REJECT_OUTGOING ([yes]/no/drop)
 Beispiele:
 FW_IPv6=""
 FW_IPv6_REJECT_OUTGOING="no"
  • FW_IPv6 verweist auf die ipv6-Unterstützung des Kernels, wenn die Option leer ist.
  • FW_IPv6_REJECT_OUTGOING Standardkonfiguration ist ja(yes) (rejecting/zurückweisen).

Nicht funktionierende Elemente

  • SuSEfirewall2 unterstützt nicht all seine Funktionen über IPv6.
  • Liste nicht funktionierender Schlüsselwörter:


Externe Links