Fragen zu Firewalls

Johannes Vieweg jvg at gmx.net
Mon Aug 6 15:23:45 CEST 2001 

At 06:58 06.08.01 +0000, you wrote:
[CUT]

Danke für den Tip. Ich habe mir die Sache noch einmal eingeschaut und
durchdacht; sollte ich wieder daneben liegen, bitte nicht aufregen, ich ver-
suche zu lernen und aufmerksam zuzuhören/zu lesen.
Also, fassen wir zusammen:

Ich will folgende Dienste anbieten:
WWW, FTP, MAIL, DNS - die sollen öffentlich sein. WWW & FTP ein Rechner
(den nenne ich alpha), MAIL (der heißt beta) & DNS (der wird gamma)
laufen auf extra Rechner.

Nach außen hin schütze ich durch das Netz durch eine Firewall, iptables.
Die ist so konfiguriert, daß Port 80 Verbindungen nur auf alpha zugelassen
werden. FTP-Verbindungen werden auf einen FTP-Proxy umgleitet, der
so konfiguriert ist, daß er mit dem FTP-Server nur passiv spricht. Der
FTP-Server ist wiederrum so konfiguriert, daß FTP-Anfragen nur vom
FTP-Proxy zugelassen werden.
Port 25 Verbindungen werden nur auf beta zugelassen, DNS-Anfragen nur
an gamma.
Zum Firmennetz geht ein Rechner, der einen Proxy (squid) laufen hat, ein
weiterer Rechner schützt das Firmennetzwerk mit einer Firewall.
Der Proxy übernimmt die HTTP-Anfragen für das interne Firmennetzwerk,
die Firewall leitet FTP-Anfragen an den FTP-Proxy weiter, Mail-Anfragen
werden an den Mailserver weitergeleitet.
Somit dürfte die Sache so aussehen:

|www|-----|Firewall1|---------|WWW|     |FTP|
                              |    |                    ^
                              |    v-|FTP-Proxy|--|
                              |------|Mail|
                              |------|DNS|
                              |------|Squid|------|Firewall|-----|Firmennetzwerk|----

Man könnte noch einen Server zur Intrusion Detection hinstellen.
Ist die Sache besser durchdacht?

Johannes

P.S.: Das mit den dynamischen Ports war nur ein Gedankenspiel...

--------------------------------------------------------------------------------------------------------- 

Key-ID: 0xCA9F07CC
Fingerprint: AA05 1213 6AA3 918C F3AB 922D 4A26 1A41 CA9F 07CC
e-mail: jvg at gmx.net
----------------------------------------------------------------------------------------------------------






-- 
tlug Mailingliste
liste at tlug.de
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein