Firewall configuration

---

• From: UseNet-Posting-Nospam-74308-@xxxxxxxxxxxxxxxxx (Rainer Zocholl)
• Date: 30 Oct 2008 22:18:00 +0100

---

Hallo
Eine Frage zum Konfigurieren von Firewall resp.
deren Bedienkonzepten:


Gegeben sei:

eth0 RED das $böse Internet
eth1 ORANGE DMZ
eth2 GREEN das LAN
eth3 Brigde mit eth0

Gewünscht ist:

Alle Rechner im LAN sollen SSH zu externen Rechnern an RED können.
Alle Rechner im LAN sollen Telnet (ja ich weiss ;-)) zu Rechnern
in der DMZ können.
Der FTP server (passive node) in der DMZ soll nur über
seine RED-Internet adresse erreichbar sein. nicht vom LAN aus.
der andere FTP server (actibe+passive mode)an eth3 soll ebenfalls nur
ins Internet an RED können und von dort erreicht werden und durc nichts
behindert werden.
Das LAN darf sonst nur mittels Proxies "raus".


Frage:

Warum ist es nötig alle Interfaces explizit(!) zusperren, die
der ftp server nicht erreichen soll?
Warum kann man nicht einfach sagen:
"Forwarde die FTP server nur auf das Interface RED".
oder
"Erlaube den Rechner im LAN nur Zugriff auf DMZ-Rechner-Telnet"

Sondern so einen riesen satz:
Sperre den Zugriff auf den FTP server LAN GREEN
Sperre den Zugriff auf den FTP server DMZ ORANGE
Öffne für den FTP server "any"

Sperre den Zugriff vom LAN auf RED
Sperre den Zugriff vom LAN auf GREEN
Erlaube den Telnet Zugriff auf "Any"




Mir erscheint es sehr riskant und fehlerträchtig zu sein, wenn ich sagen
muss, alles darf raus, aber bitte nicht auf Interface eth1,eth2,eth3.
Wenn ein neues Interface dazu kommt, reisst man auf einmal ein riesenloch,
hat unerwünschten traffic auf dem Etherface...

Angeblich muss das so auf Astaro gateways gemacht werden.

Wirklich?

Warum?
Welchen eleganteren Weg gibt es?
Welche Andere Firewall arbeitetso wie gewünscht:
Es werden Pakete nur auf dem Weg "geleitet" der explizit angebenen ist.






Rainer

--
Transparency International definiert Korruption als
Missbrauch von anvertrauter Macht zum privaten Nutzen oder Vorteil. [...]
Corruption is operationally defined as the misuse of entrusted power for
private gain. [...]
.

---

• Follow-Ups:
  • Re: Firewall configuration
    • From: Jens Hektor
  • Re: Firewall configuration
    • From: Burkhard Ott

• Prev by Date: Re: Ist dieser Wlan-Router als Firewall geeignet?
• Next by Date: Re: Firewall configuration
• Previous by thread: Ist dieser Wlan-Router als Firewall geeignet?
• Next by thread: Re: Firewall configuration
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: FTP Server Implementation ... if you DMZ the FTP server and do your transfers from the SBS LAN to the FTP ... (microsoft.public.windows.server.sbs) Re: Hosting a FTP server using Windows 2003 server ... Running a DC in the DMZ defeats almost all the reasons for having a DMZ ... My concern is that adminisration of the FTP server running Windows ... part of the domain on the LAN? ... (microsoft.public.windows.server.networking) Re: DNS and DMZ zone problem ... when the server is only a mebmerserver. ... What's open between DMZ and LAN, and between WAN and DMZ, etc? ... standalone FTP server you run ... (microsoft.public.win2000.dns) Hosting a FTP server ... I have a need to host a FTP server on a LAN with approximately 55 clients. ... DMZ. ... (microsoft.public.windows.server.networking) Re: Firewall and DMZ topology ... attacker cannot spread his influence across the network. ... If the DMZ resides between the public Internet and the ... Should the DMZ be behind the LAN and not split off at the firewall, ... > The Gartner Group just put Neoteris in the top of its Magic Quadrant, ... (Security-Basics)

---

• Security
• UNIX
• Linux
• Coding
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint

newsgroups.derkeiler.com  > Archive  > De  > de.comp.security.firewall  > 2008-10