Debian als Router (Firewall)

[mod3]

Hallo zusammen,

habe nun eine Reihe von virtuellen Maschinen aufgesetzt (Virtualbox), die alle auf demselben Host-System laufen.
Das Host-System ist allerdings von allen Netzen abgeschottet, in das es eine NIC hat. Hat also keine iP in irgendeinem der Netze.
Alle angebotenen Dienste laufen also auf V-Servern.
Lediglich eine einzelne virtuelle Maschine soll als Router fungieren und eine IP "im Internet" bekommen.
Per virtuellem internen Netz sind an dieses Router-System dann die anderen V-Server angeschlossen, die Dienste nach außen bereitstellen (hauptsächlich OpenVPN-Server).

Meine Frage nun: Was muss ich bei der Konfiguration dieses Router-Systems beachten? Also die üblichen Dinge sind klar: Das System allgemein härten, keine unnötigen Dienste, sichere Kennwörter, aktuelle Patches rein etc. .
Speziell interessiert mich hier der iptables-Regelsatz, der ja die Firewall zwischen V-Servern und Internet realisiert.
Genügt eine typische Konfiguration, die von außen alles blockiert und die nötigen Server-Dienste per Port-Forwarding an die anderen V-Maschinen durchreicht? Oder sollte ich Besonderheiten beachten?
Lohnt sich hier der Einsatz von ebtables und arptables?
Ich frage, weil ich z.B. festgestellt habe, dass mein (interner) DHCP-Server entsprechende Requests beantwortet hat, obwohl die Firewall des Servers versehentlich noch komplett dicht war.
Die Anfragen scheinen ergo auf dem Ethernet-Layer eingetroffen und beantwortet worden zu sein.

Grüße,
mod3

[dufty2]

Ich frage, weil ich z.B. festgestellt habe, dass mein (interner) DHCP-Server entsprechende Requests beantwortet hat, obwohl die Firewall des Servers versehentlich noch komplett dicht war.
Die Anfragen scheinen ergo auf dem Ethernet-Layer eingetroffen und beantwortet worden zu sein.

Nö, die FW war nicht "komplett" dicht, denn DHCP basiert auf UDP und wenn das nicht geht, gibt es auch keine IP-Zuweisung, zuminderst nicht per DHCP.

[mod3]

Bist du dir da ganz sicher?
Denn 67 und 68 tcp/udp waren wirklich beide zu...

[dufty2]

Ja, ganz sicher.

[mod3]

Gerade nochmal getestet: Es funktioniert definitiv.
Also Firewall dicht (alle Ketten per Default auf DROP) und der Client bekommt nen DHCPACK.

Hast du ansonsten Tipps für mich?

[dufty2]

Gerade nochmal getestet: Es funktioniert definitiv.
Also Firewall dicht (alle Ketten per Default auf DROP) und der Client bekommt nen DHCPACK.

Hast du ansonsten Tipps für mich?

Als Beweis bitte posten kompletten tcpdump sowie "iptables -L -n".

Weitere Tipps:
https://www.whonix.org/wiki/Security_Gu ... n_Platform
und alle links darin.

[dufty2]

Ahh, man sollte richtig lesen können
Du sprachst von Deinen DHCP-Server, den "-Server" hab ich nicht bedacht.
Dieser bl... ISC DHCP-Server benutzt tatsächlich raw sockets
- das siehst Du mit z. B. "netstat -tulpenw", also "tulpen und noch ein 'w' dran" -
und die raw sockets umgehen scheinbar iptables.
Wieder was gelernt.

[mod3]

Hm, sollte ich mir Sorgen um diese raw-sockets machen?
Also im LAN jucken sie mich nicht weiter. Geht eher um Dienste, die ich nach außen anbiete.

[mod3]

Stoße das hier nochmal an, denn meine Frage ist noch nicht beantwortet

Es geht mir also nochmal um die reine Netzwerk-Seite, was die Virtualisierung angeht habe ich mich mittlerweile eingelesen.