Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Ubuntu setup voor Firewall DMZ + Trusted zone  (gelezen 3061 keer)

Offline afcelie

  • Lid
  • Steunpunt: Nee
Ubuntu setup voor Firewall DMZ + Trusted zone
« Gepost op: 2008/11/30, 22:55:39 »
WIe heeft er een makkelijke Iptable confguratie voor het volgende:
Internet --> Firewall (Ubuntu server) --> DMZ --> Firewall (Ubuntu server) --> Trusted zone
op de internet aansluiting heb ik de beschikking over een 30 tal ipadressen. Hoe kan ik deze configureren op bijv eth0 of moet ik dit anders doen?
De firewall moet ook geschikt zijn voor NAT, heb ik na een installatie van Ubuntu Server nog iets anders nodig of werkt dit gewoon out of the box?

Thanx

Offline kennywest

  • Lid
    • http://kennywest.blogspot.com
  • Steunpunt: Nee
Re: Ubuntu setup voor Firewall DMZ + Trusted zone
« Reactie #1 Gepost op: 2008/12/01, 08:42:02 »
Ik ben momenteel bezig met een nieuwe router / firewall op te zetten voor mijn thuis netwerk (Debian). Om de regels aan te maken voor iptables (zit inderdaad standaard in ubuntu en elke andere linux 2.4+  distro) ben ik bezig fwbuilder te evalueren. fwbuilder zit in de repositories en biedt voor een aantal standaard opstellingen (zoals uw opstelling) een aantal standaard templates. Je maakt dus gewoon een nieuwe firewall op basis van één van deze templates en daarna pas je nog wat zaken aan naar jouw wensen (volledig grafisch en je hoeft niets van iptables te kennen). Vervolgens kan je het fwbuilder project "compileren" naar een iptables script.

Offline Michael Anckaert

  • Lid
    • http://www.sinax.be
  • Steunpunt: Nee
Re: Ubuntu setup voor Firewall DMZ + Trusted zone
« Reactie #2 Gepost op: 2008/12/02, 10:47:32 »
Misschien schop ik hiermee wild in het rond maar....
GUI tooltjes voor iptables zijn geschikt voor KMO gebruik, maar vanaf een bepaald niveau moet je gewoon de kennis hebben. Ik denk dat als je begint met de templates van fwbuilder aan te passen tot het werk dat je er wel komt, maar wat als er een probleem is?
Als het over packetfiltering gaat zeg ik altijd: 'Kan je niet via de commandline iptables configureren blijf er dan aub af!'
www.sinax.be
Open Source Integrators, consulting and custom development

Offline kennywest

  • Lid
    • http://kennywest.blogspot.com
  • Steunpunt: Nee
Re: Ubuntu setup voor Firewall DMZ + Trusted zone
« Reactie #3 Gepost op: 2008/12/02, 11:04:32 »
Er is een tijd geweest dat ik ook zo dacht. Ik draai al mee sinds ipfwadm, dat is lang voordat iptables er was (ik denk 2.0 kernel). Ik dacht dat het de bedoeling was van dit forum om mensen, die ook minder van de commandolijn kennen, te helpen. Ik denk dat ipfwadm ook door meer onderlegde gebruikers gebruikt wordt. En dit omdat je gewoon iets moet kennen van netwerken _zonder_ de syntax te kennen van de tool, zoals iptables, die eronder zit.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Ubuntu setup voor Firewall DMZ + Trusted zone
« Reactie #4 Gepost op: 2008/12/02, 11:30:26 »
Een goede handleiding voor IPtables missen we nog op onze wiki. Er zijn vast een hoop gebruikers die er wat aan zullen hebben.

Offline Michael Anckaert

  • Lid
    • http://www.sinax.be
  • Steunpunt: Nee
Re: Ubuntu setup voor Firewall DMZ + Trusted zone
« Reactie #5 Gepost op: 2008/12/02, 13:53:59 »
Er is een tijd geweest dat ik ook zo dacht. Ik draai al mee sinds ipfwadm, dat is lang voordat iptables er was (ik denk 2.0 kernel). Ik dacht dat het de bedoeling was van dit forum om mensen, die ook minder van de commandolijn kennen, te helpen. Ik denk dat ipfwadm ook door meer onderlegde gebruikers gebruikt wordt. En dit omdat je gewoon iets moet kennen van netwerken _zonder_ de syntax te kennen van de tool, zoals iptables, die eronder zit.

Akkoord, het is de bedoeling om mensen bij te leren. Maar de syntax van iptables is allesbehalve moeilijk, als je de terminal kan gebruiken kan je iptables gebruiken. Wat ik bedoel is dat het op een bepaald niveau 'gevaarlijk' is om een firewall in te stellen via een GUI. Als desktop gebruiker een vinkje plaatsen naast 'Internet toegang' is meer dan normaal. Maar als systeembeheerder moet je kunnen uitleggen waarop je UDP verkeer op poort 53 enkel binnen laat naar ip XXX.XXX.XXX.XXX.
En als ik zie dat iemand met 30 ipadressen tot zijn beschikking vraagt om uitleg over het instellen van iptables dan huiver ik als zie dat men aanraad om een voorgekauwd scriptje aan te passen. Sorry maar zo creëer je onveilige toestanden, botnets en spam versturende netwerken.
www.sinax.be
Open Source Integrators, consulting and custom development

Offline afcelie

  • Lid
  • Steunpunt: Nee
Re: Ubuntu setup voor Firewall DMZ + Trusted zone
« Reactie #6 Gepost op: 2008/12/02, 19:06:14 »
Er is een tijd geweest dat ik ook zo dacht. Ik draai al mee sinds ipfwadm, dat is lang voordat iptables er was (ik denk 2.0 kernel). Ik dacht dat het de bedoeling was van dit forum om mensen, die ook minder van de commandolijn kennen, te helpen. Ik denk dat ipfwadm ook door meer onderlegde gebruikers gebruikt wordt. En dit omdat je gewoon iets moet kennen van netwerken _zonder_ de syntax te kennen van de tool, zoals iptables, die eronder zit.

Akkoord, het is de bedoeling om mensen bij te leren. Maar de syntax van iptables is allesbehalve moeilijk, als je de terminal kan gebruiken kan je iptables gebruiken. Wat ik bedoel is dat het op een bepaald niveau 'gevaarlijk' is om een firewall in te stellen via een GUI. Als desktop gebruiker een vinkje plaatsen naast 'Internet toegang' is meer dan normaal. Maar als systeembeheerder moet je kunnen uitleggen waarop je UDP verkeer op poort 53 enkel binnen laat naar ip XXX.XXX.XXX.XXX.
En als ik zie dat iemand met 30 ipadressen tot zijn beschikking vraagt om uitleg over het instellen van iptables dan huiver ik als zie dat men aanraad om een voorgekauwd scriptje aan te passen. Sorry maar zo creëer je onveilige toestanden, botnets en spam versturende netwerken.
Het is maar een vraag om het e.e.a. in te stellen vwb een voorbeeld scriptje, niet om een volledig script voor 30 ip adressen.
Als ik gewoon een goed voobeeld heb voor instellen van 1 ip adres voor port forwarding en NAT dan kom ik er ook wel uit (hoop ik).
Maar je hebt wel gelijk vwb botnets etc.