deppdoedel
Newbie
neue kleine denksportaufgabe.
aufgebaute rechner-umgebung:
externe router-box zum internet
dahinter firewall2-linux-server
dahinter interner server mit:
- www für internet und intranet
- dns und dhcp nur für intranet
------------------------------------
gewollte config:
1. alle rechner des intranet sollen (fast) alles im internet erreichen (mit dhcp und dns vom internen server)
2. die firewall soll port 80 forwarden auf den internen server, alles andere blocken; es soll also auch der dns-dienst von außen geblockt werden !
config der firewall2 (nur die relevanten eintröge):
FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="no" (denn dies macht eh der externe router)
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
# folgende dienste sollen vom inter ins intranet erreichbar sein
FW_SERVICES_EXT_TCP="80"
# folgende dienste sollen vom intra ins internet erreichbar sein
FW_SERVICES_INT_TCP="80 443 22 23 53"
FW_SERVICES_INT_UDP="53 80"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
# folgende einträge="no", da dienste auf internem server laufen, und nicht auf der firewall
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
# folgende ip ist der interne server mit www
FW_FORWARD="0/0,192.168.1.1,tcp,80"
mit obigen einstellungen läßt die firewall dns-anfragen vom internen server nicht durch:
SuSE-FW-DROP-DEFAULT ....... PROTO=UDP SPT=33188 DPT=53
warum? wo liegt der denkfehler?
aufgebaute rechner-umgebung:
externe router-box zum internet
dahinter firewall2-linux-server
dahinter interner server mit:
- www für internet und intranet
- dns und dhcp nur für intranet
------------------------------------
gewollte config:
1. alle rechner des intranet sollen (fast) alles im internet erreichen (mit dhcp und dns vom internen server)
2. die firewall soll port 80 forwarden auf den internen server, alles andere blocken; es soll also auch der dns-dienst von außen geblockt werden !
config der firewall2 (nur die relevanten eintröge):
FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="no" (denn dies macht eh der externe router)
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
# folgende dienste sollen vom inter ins intranet erreichbar sein
FW_SERVICES_EXT_TCP="80"
# folgende dienste sollen vom intra ins internet erreichbar sein
FW_SERVICES_INT_TCP="80 443 22 23 53"
FW_SERVICES_INT_UDP="53 80"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
# folgende einträge="no", da dienste auf internem server laufen, und nicht auf der firewall
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
# folgende ip ist der interne server mit www
FW_FORWARD="0/0,192.168.1.1,tcp,80"
mit obigen einstellungen läßt die firewall dns-anfragen vom internen server nicht durch:
SuSE-FW-DROP-DEFAULT ....... PROTO=UDP SPT=33188 DPT=53
warum? wo liegt der denkfehler?