IPTABLES script

hi,
folgende aufgabe:
Absicherung eines Firmennetzes mit Hilfe einer auf Linux basierenden Lösung.
Es sollen die Rechner im Intranet der Firma auf das Internet zugreifen können, wobei lediglich http und https als Protokolle mit dem jeweiligen Standard-Port zugelassen sind. Ferner betreibt die Firma einen eigenen Webserver, der sowohl vom Intra- als auch Internet erreichbar sein soll. Zur Sicherheit soll der Datentransfer von und zum Webservers durch einen weiteren Rechner überwacht werden.
Nur im Intranet erreichbar sollen sein ein Webserver mit WebDAV, sowie ein File -Server.
Sollte ggf. am Ende noch Zeit sein, kann das System durch einen VPN-Zugang erweitert werden.

dazu soll ich jetzt zwei firewallscripts schreiben also zwei router habe ich und was muss ich da jetzt schreiben. hab da 0 ahnung von

Lese dir mal " man iptables " durch.

Am besten erst mal alles speeren und dann die entsprechenden Sachen zulassen.

Alle Regeln erstmal löschen:

iptables -F

Alles verbieten:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

So lässt du z.B." HTTP " zu

iptables -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT

Kann eine sehr komplexe Sachen sein.

gruss....

ist die portfreigabe für den server(also zugriff von außen ins netzwerk) oder dafür, damit man auf http im internet zugreifen kann
und wofür steht die 1024

" 1024: " beachte den " : " . Dass heisst dass alle localen ( source ) Ports wegen dem angehängten Doppelpunkt nach aussen hin zum Port 80 ( tcp ) auf anderen Rechnern werden.

Für einen Webserver drehst du die Regeln, die ich dir für HTTP geschrieben habe, um.

Bin aber jetzt kein iptables_gott, gell
Und man sollte sich schon kräftig in dieser Sache einlesen. Geht nicht gleich von heute auf morgen.
Kämpfe selber gerade damit rum.

gruss....

milli4503 schrieb:

" 1024: " beachte den " : " . Dass heisst dass alle localen ( source ) Ports wegen dem angehängten Doppelpunkt nach aussen hin zum Port 80 ( tcp ) auf anderen Rechnern werden.
gruss....

Zum Vergrößern anklicken....

das war nicht das, was ich dich gefragt habe. was bedeutet denn die 1024, kann ich da jede x-beliebige zahl hinschreiben

Ab 1024 beginnen die die sogenannten Highports. Das sind die Ports die frei genutzt werden dürfen. Sprich ein HTTP-Client (eine Browser) nutzt diesen Port zu Kommunikation mit dem Server.

Zum Thema iptables: Google mal nach iptables und frozentux. Da bekommst Du eine gute Bedienungsanleitung. Grundlagen TCP/IP werden da aber nicht besprochen.

Zur Überwachung des Zugriffs auf den Webserver einen zweiten Rechner einzusetzen macht einfach so keinen Sinn. Auch der Webserver selbst logt mit wer was abgefragt hat. Zugriffsschutz auf Verzeichnisse kann man auch definieren. Stellt sich die Frage wofür man den zweiten Rechner braucht. Evtl. könnte man darauf ein NIDS installieren was den Netzwerkverkehr überwacht und Alarm schlägt wenn was nicht stimmt. Ist ein Haufen Arbeit und vor Fehlalarmen ist man trotzdem nicht sicher.