Firewall für Zuhause

Brandmauer für Zuhause

Weder eine Windows-Firewall noch eine Desktop-Firewall ist für maximale Sicherheit ausreichend. "Übungs-Firewall" für Zuhause - Sicherheit Guten Tag an alle, ich befinde mich gerade in meinem zweiten Ausbildungsjahr und steige allmählich in die Firewall ein. Eigentlich wollte ich mir eine billige und benutzte Firewall für mein Zuhause besorgen, nur um ein wenig zu trainieren oder ein paar Dinge ausprobieren. Jetzt habe ich einen gebrauchten SunnyWatcher DSG20 wiedergefunden.

Im Moment habe ich eine der FritzBoxen und einige Netzwerkgeräte von der Firma in meinem Haus im Gebrauch. Gibt es vielleicht eine Alternative dazu oder eine ganz andere Art, sich das Material von Brandmauern zu erlernen?

Firewalls für Privatanwender oder kleine Büros

Im Beispiel läuft PF auf einer OpenBSD-Maschine, deren Funktion es ist, als Firewall und NAT-Gateway zu fungieren für ein kleines Netz zu Hause oder in einem Büro Übergeordnetes Ziel ist es, den Netzwerk-Internetzugang und den eingeschränkten Zugang zum Firewall-Rechner aus dem Netz auf gewähren bereitzustellen. Darüber hinaus soll ein eigener Web-Server aus dem Netz zugänglich gemacht werden.

Es gibt einige Rechner in diesem inneren Netz. Die COMP3 ist eine Besonderheit, da es sich um einen kleinen Web-Server läuft handelt. Die OpenBSD-Firewall ist ein Coeleron 300 mit zwei Netzwerkkarten: einem 3com 3c509B (xl0) und einem Intel EtherExpress Pro/100 (fxp0). Der Firewallserver hat eine kabelgebundene Internetverbindung und nutzt NAT, um diese für das eigene Netz freizugeben.

Bieten Sie uneingeschränkten Internetzugang zu jedem beliebigen Rechner. Erlauben Sie den nachfolgenden ankommenden Datenverkehr für die Firewall aus dem Internet: SSH (TCP-Port 22): für externe Instandhaltung der Firewall-Maschine ist erforderlich. Auto/Ident (TCP-Port 113): wird von einigen Services wie z. B. GSM und IRC genutzt. Leiten Sie TCP-Port 80 Verbindungsanfragen (die den Zugriff auf den Web-Server versuchen) an den COMP3-Computer weiter.

Erlauben Sie auch TCP-Port 80 Verkehr durch die Firewall mit der Bezeichnung für COMP3. Der Abschnitt nächste geht schrittweise durch einen Regelwerk, das die oben erwähnten Zielsetzungen verwirklicht. In der dritten und vierten Reihe sind die TCP-Portnummern der Services aufgeführt, die dem Netz gegenüber (SSH und ident/auth) ausgesetzt sind, sowie der ICMP-Pakettyp, der den Firewall-Rechner erreicht.

Wir tun dies, indem wir auch den NAT-Anker einbinden: nat-anchor "ftp-proxy/*" Die ersten Weiterleitungsregeln, die wir benötigen, sind für ftp-proxy(8), damit sich FTP Clients über das lokale Netzwerk mit FTPServern im Intranet verbinden können. Bei der Verbindung von Benutzern auf regulärer zu FTP-Servern auf anderen Anschlüssen sollte eine Auswahlliste mit den Zielanschlüssen benutzt werden - zum Beispiel: von einem beliebigen zu einem beliebigen Anschluss { 21, 2121}.

In der letzten Weiterleitungsregel werden alle Verbindungsversuche von Leuten im Netz zum TCP-Anschluss 80 der Firewall aufgezeichnet. Autorisierte Zugriffe auf diesen Anschluss werden von Anwendern durchgeführt, die über das Netz auf den Web-Server zugreifen wollen. An dieser Stelle wird der ganze Datenverkehr, der versucht, eine Schnittstelle zu betreten, blockiert - auch aus dem eigenen Netz.

Das nächsten-Regelwerk öffnet die Firewall gemäß den oben angeführten Zielsetzungen sowie alle erforderlichen Schnittstellen. Sie können die Konfigurierung dadurch erleichtern, dass Sie den Datenverkehr nur in eine einzige Richtung statt in den ein- und abgehenden Datenverkehr einfiltern. Wir haben uns in unserem Falle entschlossen, den ankommenden Datenverkehr zu kontrollieren.

Wir brauchen auch einen Anchor für ftp-proxy(8): Öffne nun die Portierungen, die von den Netzwerk-Diensten verwendet werden, die für das Netz sein soll verfügbar Erstens, der Datenverkehr von für entscheidet über die Firewall selbst: Die Angabe der Netzwerkanschlüsse im Macro $tcp_services macht es einfach, die Services von zusätzliche dem Netz vorzustellen.

Zusätzlich zur rdr-Regel, die den Datenverkehr des Webservers an COMP3 durchleitet: Wir MÜSSEN diesen Datenverkehr auch durch die Firewall leiten: Für ein wenig mehr Security werden wir den TCP-SYN-Proxy nutzen, um den Web-Server noch besser zu machen. Das Makro $tcp_services ähnelnd kann verwendet werden, um das Makro $icmp_types zu bearbeiten, um leicht auf die Arten von ICMP-Paketen auf ändern zuzugreifen, die die Firewall durchlaufen.

Beachten Sie, dass diese Regelung für für alle Netzwerkschnittstellen gültig ist. Jetzt muss der Datenverkehr zum und vom eigenen Netz erlaubt sein. Es wird davon ausgegangen, dass die Nutzer im hausinternen Netz wissen, was sie tun und keine Probleme haben. Das ist nicht unbedingt eine Vermutung von gültige; ein viel restriktiveres Regelwerk wäre für für Viele Umfelder sind besser geeignet.

TCP-, UDP- und ICMP-Verkehr kann die Firewall in Fahrtrichtung auslaufen. Statusinformationen werden beibehalten, so dass die zurückkommenden Datenpakete durch die Firewall geleitet werden können.