Netzwerke und Services exklussiv auftrennen

[Xanthor]

Hallo beisammen,
Ich bin wirklich neu in sachen Debian und nun stehe ich vor dem Problem ein Debian System aufsetzen zu müssen da eine spezielle properitäre Software nur damit funktioniert oder lt. Hersteller damit funktioniert, nun hab ich seitens des Hostmasters die Anforderung zwei Netzwerke zu trennen, auf der einen Seite (an eth0) bin ich am Internet über 802.1x angebunden und ein Service soll über (eth1) aus einem anderem Netzwerk erreichbar sein, nun suche ich nach einem Weg das ganze komlett zu trennen bis auf eben zwei Services, an eth0 soll nur ein einziger oder zwei Ports für einen Service freigegeben werden und auf der anderen Seite sollen alle Geräte nach eth1 nicht von eth0 aus angesprochen werden können da diese ein besonderes Schutzbedürfnis aufweisen. Siehe Grafaik:

Ich Scheiter leider bereits daran einen Service an exclussive eth1 zur Verfügung zu stellen.

[debilian]

iptables, bzw. ein paar Firewallregeln werden dir helfen....

Ich Scheiter leider bereits daran einen Service an exclussive eth1 zur Verfügung zu stellen.

warum, es sind doch sicher schon 2 Netze?!

[Xanthor]

Wie stelle ich die iptables und Firewallregeln ein?

[mat6937]

... zwei Netzwerke zu trennen, auf der einen Seite (an eth0) bin ich am Internet über 802.1x angebunden und ein Service soll über (eth1) aus einem anderem Netzwerk erreichbar sein, nun suche ich nach einem Weg das ganze komlett zu trennen bis auf eben zwei Services, an eth0 soll nur ein einziger oder zwei Ports für einen Service freigegeben werden und auf der anderen Seite sollen alle Geräte nach eth1 nicht von eth0 aus angesprochen werden können da diese ein besonderes Schutzbedürfnis aufweisen. ...

Haben die Interfaces (eth0 und eth1) IP-Adressen aus verschiedenen Netzwerken(Subnets)?
Sind die Services (Dienste) so konfiguriert, dass diese nicht an 0.0.0.0/0 lauschen, sondern an der gewünschten IP-Adresse (eth0 oder eth1)? Siehe auch was man dazu mit sysctl konfigurieren/optimieren kann (z. B. rp_filter, etc.).

[debilian]

https://www.howtogeek.com/177621/the-be ... -firewall/

https://www.englert.one/iptables-tutorial

z.B.

[unitra]

Viele Dienste lassen sich an eine Schnittstelle binden, kein Firewalling benötigt. Firewalling setzt vorraus es ist nicht korrekt konfiguriert und muss geblock werden. Wenn es korrekt konfiguriert ist, kein Firewall overhead benötigt, da der Dienst nicht an unerwünschten Schnittstellen läuft. Also quasi WIN-WIN. Weniger Firewalling durch korrekte Bindung der Dienste an die gewünschte Netzwerkschnittstelle.

Wie stelle ich die iptables und Firewallregeln ein?

[debilian]

Viele Dienste lassen sich an eine Schnittstelle binden, kein Firewalling benötigt. Firewalling setzt vorraus es ist nicht korrekt konfiguriert und muss geblock werden. Wenn es korrekt konfiguriert ist, kein Firewall overhead benötigt, da der Dienst nicht an unerwünschten Schnittstellen läuft. Also quasi WIN-WIN. Weniger Firewalling durch korrekte Bindung der Dienste an die gewünschte Netzwerkschnittstelle.

Das ist vollkommen richtig, setzt aber vorraus, dass der Benutzer sein System schon grundsätzlich von allen unnützen Diensten,
die lauschen, befreit hat...

[unitra]

Der Dienst von dem Du sprichst, da gibt es ein Manual oder eine Dokumentation. Read The Friendly Manual, dann könnte das klappen.

...
Ich Scheiter leider bereits daran einen Service an exclussive eth1 zur Verfügung zu stellen.

[Xanthor]

Vielen Dank euch,
mittlerweile ist das System zusammengebaut, aufgesetzt und getestet, ab freitag kommt es damm vom Homeoffice ins Rack und gelöst haben wir das nun dank euer hilfe mittels ip Tables, allerdings haben wir uns für nftables entschieden, leider mussten wir feststellen dass die Properitäre software welche zusätzlich laufen soll veraltet ist und nichtmehr so läuft wie geplant, nun wird Herstellerseitig nachgebessert und irgendwann muss dann gepatcht werden aber das ist eine andere Geschichte.