Thema: Firewall-Einstellung: eth0 oder ppp0?

Hallo!

Ich habe eine Frage zur Firewall-Konfiguration. Folgende Ausgangssituation:

Der Server ist mit zwei Netzwerkkarten ausgestattet. Die erste Netzwerkkarte (eth0, ppp0) hängt am DSL-Modem (Einwahl mittels PPP), die zweite (eth1) verbindet den Server mit den lokalen Netz.

Ich möchte den Server sowie mein lokales Netz vor Angriffen aus dem Internet schützen.

Frage: Reicht es, alles zu filtern, was über ppp0 kommt, oder muß ich auch Regeln für eth0 erstellen?

Danke für eure Hilfe.
Christian

Hallo,

ppp0 ===> "Du nix SuSE", oder?

http://www.pc-forum24.de/showthread.php?p=4407#post4407

Zitat von DerGrosseBaer

Current Kernel: 2.6.16-gentoo-r9

Ich denke mal, das gilt immer noch (also das gentoo, nicht die Version *g*).

Also IMHO reicht es, wenn Du Regeln für das Interface ppp0 aufstellst, da es ja die "eigentliche" externe Schnittstelle ist.

Man könnte allerdings den Regelsatz für ppp0 1:1 auch auf eth0 übertragen, nur was macht das dann für einen Sinn?

Es wird sicher kaum schaden, wenn man für eth0 etwas "schärfere" Regeln definiert (Ohne Gewähr), aber ich denke es wird auch kaum was nützen, denn wieso sollte man z.B. Pakete auf ppp0 durchlassen, die dann erst bei eth0 geblockt werden?

Und im umgekehrten Fall: Wenn man auf ppp0 was blockt, dann braucht man es auf eth0 nicht mehr explizit freigeben, es kommt eh nicht an.

(Und sollte ppp0 ausfallen, dann braucht man auf eth0 erst recht keine Firewall, weil man dann eh keinen Internetzugang hat. *g*)

Bin aber kein absoluter Experte auf dem Gebiet, es klingt für mich einfach nur plausibel.

Was Du allerdings machen könntest (mehr aus Lernbegierde), wäre die Schnittstelle(n) eth0/ppp0 gegen "Angriffe von innen" zu schützen. So als "Testgelände" für ein größeres Netzwerk.

Bin mal gespannt, was z.B. TypeRyder dazu sagt, der hat da deutlich mehr Ahnung.

Greetz,

RM

Wahl zwischen Netzwerkkarte und PPP-Interface: ppp reicht völlig, die entsprechende externe Netzwerkkarte brauchst Du nicht nochmal "regeln".

Es gibt zwar niemanden, der Dich verhaftet, wenn Du es dennoch tust *g*, ich würde mir die Arbeit aber nicht machen.

Das Du für die interne Netzwerkkarte noch Regeln aufstellen willst, nehme ich jetzt einfach mal als Annahme an, oder? *g*

@RM: Danke für die Lorbeeren, aber sag sowas nicht zu laut, sonst glaubt das später noch jemand *g*

Zitat von Rain_Maker

ppp0 ===> "Du nix SuSE", oder?

Nein, ich nix SuSE.
Aber selbst wenn... was hätte das damit zu tun? Daß ich ppp verwende, liegt einzig und allein an meinem Internet-Provider.

Zitat von Rain_Maker

http://www.pc-forum24.de/showthread.php?p=4407#post4407
Ich denke mal, das gilt immer noch (also das gentoo, nicht die Version *g*).

Nein, an der Tatsache, daß Gentoo bei mir läuft, hat sich nichts geändert.

Zitat von Rain_Maker

Also IMHO reicht es, wenn Du Regeln für das Interface ppp0 aufstellst, da es ja die "eigentliche" externe Schnittstelle ist.

Danke. Leuchtet mir ein.

Zitat von TypeRyder

Wahl zwischen Netzwerkkarte und PPP-Interface: ppp reicht völlig, die entsprechende externe Netzwerkkarte brauchst Du nicht nochmal "regeln".

Danke auch Dir. Ist das auch so bei getunnelten Verbindungen?

Zitat von TypeRyder

Das Du für die interne Netzwerkkarte noch Regeln aufstellen willst, nehme ich jetzt einfach mal als Annahme an, oder? *g*

Selbstverständlich.

Zitat von DerGrosseBaer

Nein, ich nix SuSE.
Aber selbst wenn... was hätte das damit zu tun? Daß ich ppp verwende, liegt einzig und allein an meinem Internet-Provider.

Hallo,

Nein, das war anders gemeint.

Unter SuSE würde das Interface per default nicht 'ppp0' sondern 'dsl0' heissen, deshalb wusste ich, daß "Du nix SuSE".

Greetz,

RM

Zitat von Rain_Maker

Unter SuSE würde das Interface per default nicht 'ppp0' sondern 'dsl0' heissen, deshalb wusste ich, daß "Du nix SuSE".

So ähnlich hab ich es mir eh gedacht.

Zitat von DerGrosseBaer

Danke auch Dir. Ist das auch so bei getunnelten Verbindungen?

Welche Art von Tunnel willst du denn nutzen? Bin grad noch am stöbern, ob Du für getunnelte Verbindungen eigene Regeln für die externe Netzwerkkarte aufstellen mußt.

Zitat von TypeRyder

Welche Art von Tunnel willst du denn nutzen? Bin grad noch am stöbern, ob Du für getunnelte Verbindungen eigene Regeln für die externe Netzwerkkarte aufstellen mußt.

Es ist ein GRE-Tunnel.