Debian als Router (Firewall)
Debian als Router (Firewall)
Hallo zusammen,
habe nun eine Reihe von virtuellen Maschinen aufgesetzt (Virtualbox), die alle auf demselben Host-System laufen.
Das Host-System ist allerdings von allen Netzen abgeschottet, in das es eine NIC hat. Hat also keine iP in irgendeinem der Netze.
Alle angebotenen Dienste laufen also auf V-Servern.
Lediglich eine einzelne virtuelle Maschine soll als Router fungieren und eine IP "im Internet" bekommen.
Per virtuellem internen Netz sind an dieses Router-System dann die anderen V-Server angeschlossen, die Dienste nach außen bereitstellen (hauptsächlich OpenVPN-Server).
Meine Frage nun: Was muss ich bei der Konfiguration dieses Router-Systems beachten? Also die üblichen Dinge sind klar: Das System allgemein härten, keine unnötigen Dienste, sichere Kennwörter, aktuelle Patches rein etc. .
Speziell interessiert mich hier der iptables-Regelsatz, der ja die Firewall zwischen V-Servern und Internet realisiert.
Genügt eine typische Konfiguration, die von außen alles blockiert und die nötigen Server-Dienste per Port-Forwarding an die anderen V-Maschinen durchreicht? Oder sollte ich Besonderheiten beachten?
Lohnt sich hier der Einsatz von ebtables und arptables?
Ich frage, weil ich z.B. festgestellt habe, dass mein (interner) DHCP-Server entsprechende Requests beantwortet hat, obwohl die Firewall des Servers versehentlich noch komplett dicht war.
Die Anfragen scheinen ergo auf dem Ethernet-Layer eingetroffen und beantwortet worden zu sein.
Grüße,
mod3
habe nun eine Reihe von virtuellen Maschinen aufgesetzt (Virtualbox), die alle auf demselben Host-System laufen.
Das Host-System ist allerdings von allen Netzen abgeschottet, in das es eine NIC hat. Hat also keine iP in irgendeinem der Netze.
Alle angebotenen Dienste laufen also auf V-Servern.
Lediglich eine einzelne virtuelle Maschine soll als Router fungieren und eine IP "im Internet" bekommen.
Per virtuellem internen Netz sind an dieses Router-System dann die anderen V-Server angeschlossen, die Dienste nach außen bereitstellen (hauptsächlich OpenVPN-Server).
Meine Frage nun: Was muss ich bei der Konfiguration dieses Router-Systems beachten? Also die üblichen Dinge sind klar: Das System allgemein härten, keine unnötigen Dienste, sichere Kennwörter, aktuelle Patches rein etc. .
Speziell interessiert mich hier der iptables-Regelsatz, der ja die Firewall zwischen V-Servern und Internet realisiert.
Genügt eine typische Konfiguration, die von außen alles blockiert und die nötigen Server-Dienste per Port-Forwarding an die anderen V-Maschinen durchreicht? Oder sollte ich Besonderheiten beachten?
Lohnt sich hier der Einsatz von ebtables und arptables?
Ich frage, weil ich z.B. festgestellt habe, dass mein (interner) DHCP-Server entsprechende Requests beantwortet hat, obwohl die Firewall des Servers versehentlich noch komplett dicht war.
Die Anfragen scheinen ergo auf dem Ethernet-Layer eingetroffen und beantwortet worden zu sein.
Grüße,
mod3
Re: Debian als Router (Firewall)
Nö, die FW war nicht "komplett" dicht, denn DHCP basiert auf UDP und wenn das nicht geht, gibt es auch keine IP-Zuweisung, zuminderst nicht per DHCP.mod3 hat geschrieben: Ich frage, weil ich z.B. festgestellt habe, dass mein (interner) DHCP-Server entsprechende Requests beantwortet hat, obwohl die Firewall des Servers versehentlich noch komplett dicht war.
Die Anfragen scheinen ergo auf dem Ethernet-Layer eingetroffen und beantwortet worden zu sein.
Re: Debian als Router (Firewall)
Bist du dir da ganz sicher?
Denn 67 und 68 tcp/udp waren wirklich beide zu...
Denn 67 und 68 tcp/udp waren wirklich beide zu...
Re: Debian als Router (Firewall)
Ja, ganz sicher.
Re: Debian als Router (Firewall)
Gerade nochmal getestet: Es funktioniert definitiv.
Also Firewall dicht (alle Ketten per Default auf DROP) und der Client bekommt nen DHCPACK.
Hast du ansonsten Tipps für mich?
Also Firewall dicht (alle Ketten per Default auf DROP) und der Client bekommt nen DHCPACK.
Hast du ansonsten Tipps für mich?
Re: Debian als Router (Firewall)
Als Beweis bitte posten kompletten tcpdump sowie "iptables -L -n".mod3 hat geschrieben:Gerade nochmal getestet: Es funktioniert definitiv.
Also Firewall dicht (alle Ketten per Default auf DROP) und der Client bekommt nen DHCPACK.
Hast du ansonsten Tipps für mich?
Weitere Tipps:
https://www.whonix.org/wiki/Security_Gu ... n_Platform
und alle links darin.
Re: Debian als Router (Firewall)
Ahh, man sollte richtig lesen können
Du sprachst von Deinen DHCP-Server, den "-Server" hab ich nicht bedacht.
Dieser bl... ISC DHCP-Server benutzt tatsächlich raw sockets
- das siehst Du mit z. B. "netstat -tulpenw", also "tulpen und noch ein 'w' dran" -
und die raw sockets umgehen scheinbar iptables.
Wieder was gelernt.
Du sprachst von Deinen DHCP-Server, den "-Server" hab ich nicht bedacht.
Dieser bl... ISC DHCP-Server benutzt tatsächlich raw sockets
- das siehst Du mit z. B. "netstat -tulpenw", also "tulpen und noch ein 'w' dran" -
und die raw sockets umgehen scheinbar iptables.
Wieder was gelernt.
Re: Debian als Router (Firewall)
Hm, sollte ich mir Sorgen um diese raw-sockets machen?
Also im LAN jucken sie mich nicht weiter. Geht eher um Dienste, die ich nach außen anbiete.
Also im LAN jucken sie mich nicht weiter. Geht eher um Dienste, die ich nach außen anbiete.
Re: Debian als Router (Firewall)
Stoße das hier nochmal an, denn meine Frage ist noch nicht beantwortet
Es geht mir also nochmal um die reine Netzwerk-Seite, was die Virtualisierung angeht habe ich mich mittlerweile eingelesen.
Es geht mir also nochmal um die reine Netzwerk-Seite, was die Virtualisierung angeht habe ich mich mittlerweile eingelesen.