SDB:YaST-SuSEfirewall2-Funktionsablauf
Getestet mit openSUSE | Empfohlene Artikel | Verwandte Artikel | |||
|
Inhaltsverzeichnis
Funktion
Für eine fortgeschrittene Konfiguration bietet die Firewall drei verschiedene Zonen an, denen Sie ihre Netzwerkschnittstellen zuweisen können. Dies ermöglicht es SuSEfirewall2 als Netzwerk-Router zwischen drei verschiedenen Netzwerken zu agieren oder etwa ein LAN-Server zu sein, der Masquerading in das Internet (oder ein anderes Netzwerk) anbietet.
+--------------------+ | jede Firewall-Zone | +----------+---------+ | +--> [ Hat zugewiesene Netzwerkschnittstellen ] | +--> [ Definiert erlaubte Dienste ]
Konfiguration
Um eine SuSEfirewall2 zu konfigurieren, bearbeiten Sie entweder
- die Datei /etc/sysconfig/SuSEfirewall2 manuell und rufen
/sbin/SuSEfirewall2
auf, oder
- Sie nutzen das YaST-Modul Firewall.
Beachten Sie bitte, dass das aktuelle YaST-Firewall-Modul weder alle Einstellungen der Firewall anzeigt noch die Konfiguration aller Einstellungen ermöglicht. Dies umfasst zumindest die Konfiguration von reject (zumindest eine ist standardmäßig aktiviert).
Funktionen
Obwohl SuSEfirewall2 viele Funktionen hat, kann YaST offensichtlich nicht alle konfigurieren. Die Konfigurationsdatei selbst enthält alle nötige Dokumentation für jede einzelne Funktion.
Wenn eine bestimmte Variable die Angabe von mehreren Einträgen erlaubt, werden diese durch ein Leerzeichen getrennt.
Beispiel: FW_VARIABLE="Wert1 Wert2 Wert3,mit,weiteren,Parametern"
Firewall-Zonen
SuSEfirewall2 hat drei verschiedene Zonen:
- EXT - Extern (nicht vertrauenswürdig, Internet) FW_DEV_EXT
- INT - Intern (vertrauenswürdig) FW_DEV_INT
- DMZ - Demilitarisiert FW_DEV_DMZ
Weisen Sie ihre Netzwerkschnittstellen je nach Bedarf bestimmten Zonen zu. Wenn Sie nur eine Netzwerkschnittstelle haben, ist es eine gute Wahl, es der externen Zone zuzuweisen. Eine Netzwerkschnittstelle wird einer Zone zugewiesen, indem man den Schnittstellennamen der entsprechenden Variable hinzufügt.
Beispiele: FW_DEV_EXT="eth-id-00:e0:4c:9f:61:9a" FW_DEV_EXT="any eth-id-00:e0:4c:9f:61:9a" FW_DEV_INT="eth5 eth6"
Die externe Zone verfügt außerdem über eine besondere Sicherheitsfunktion. Wenn Sie dort die Zeichenkette any einfügen, werden alle Netzwerkschnittstellen, die nicht explizit einer anderen Zone zugewiesen sind (oder in Zukunft nicht mehr zugewiesen sind), korrekt der externen Zone zugewiesen.
Zugriff auf Dienste erlauben
Jede Firewall-Zone kann vier Diensttypen erlauben.
- TCP - FW_SERVICES_EXT_TCP, FW_SERVICES_INT_TCP, FW_SERVICES_DMZ_TCP
- UDP - FW_SERVICES_EXT_UDP, FW_SERVICES_INT_UDP, FW_SERVICES_DMZ_UDP
- RPC - FW_SERVICES_EXT_RPC, FW_SERVICES_INT_RPC, FW_SERVICES_DMZ_RPC
- IP - FW_SERVICES_EXT_IP, FW_SERVICES_INT_IP, FW_SERVICES_DMZ_IP
TCP- und UDP-Dienste können durch die Port-Nummer, den Port-Namen (eine aktuelle Zuweisung finden Sie auf ihrem System in der Datei /etc/services) oder durch einen Port-Bereich, bestehend aus zwei durch einen Doppelpunkt getrennte Port-Nummern, definiert werden.
Beispiele: FW_SERVICES_EXT_TCP="ssh" FW_SERVICES_EXT_TCP="ftp 22 telnet 512:514" FW_SERVICES_EXT_UDP="631 400:405"
Masquerading
... Beispiel:
- Erlaubt dem Netzwerk auf der internen Schnittstelle den vollen Zugriff auf das Netz.
- Erlaubt dem DMZ-Netzwerk vollen Zugriff auf das Netz.
FW_MASQ_NETS="10.1.1.0/24 192.168.1.0/24"
Weiterleitung zu Masqueraded Hosts
...
Transparente Umleitung
...
Protokollierung
...
HTB - Maximale Sendegeschwindigkeit ausreizen
...
IPv6
Die Konfiguration des Internet Protocol version 6 (IPv6) hat die folgenden Elemente:
- IPv6-Unterstützung - FW_IPv6 (yes/no)
- IPv6-ausgehend Konfiguration - FW_IPv6_REJECT_OUTGOING ([yes]/no/drop)
Beispiele: FW_IPv6="" FW_IPv6_REJECT_OUTGOING="no"
- FW_IPv6 verweist auf die ipv6-Unterstützung des Kernels, wenn die Option leer ist.
- FW_IPv6_REJECT_OUTGOING Standardkonfiguration ist ja(yes) (rejecting/zurückweisen).
Nicht funktionierende Elemente
- SuSEfirewall2 unterstützt nicht all seine Funktionen über IPv6.
- Liste nicht funktionierender Schlüsselwörter:
- FW_TRUSTED_NETS
- FW_SERVICES_ACCEPT_EXT
- ... (Fügen Sie ruhig weitere hinzu)