IHK Abschlussprojekt
RT01
http://sone.comxa.com/DHCP%20RELAY%20in%20SLES11.htm
Firewall-Skript
vim /usr/local/bin/fwstart
#! /bin/bash
# Variablen definieren
EXTERN=eth0 # Netzwerkschnittstelle ins Internet
LOOP=lo # Das Loopback Interface, zum anpingen
PROXY=10.0.1.105 # IP-Adresse des Proxy-Servers
DC01=10.0.1.100 # DC, DNS primaer
DC02=10.0.1.101 # DC, DNS sekundaer
RDS01=10.0.1.103 # Remote Desktop Server
ANYWHERE=any/0 # Jede Adresse im Netz
INTRANET=10.0.0.0/16 # komplettes Intranet
UNPRIVPORTS=1024:65535 # unpriviligierte Ports
# Regeln definieren
iptables -F # Flush löscht vorhandene Regeln
iptables -P INPUT DROP # Einkommend alles verboten
iptables -P OUTPUT DROP # Ausgehend alles verboten
iptables -P FORWARD DROP # Weiterleitend alles verboten
# iptables -A input -i $LOOP -j ACCEPT # Loopback Regeln
# iptables -A output -i $LOOP -j ACCEPT # Loopback Regeln
iptables -A input -i $EXTERN -p icmp -j ACCEPT # Falls anpingen erlaubt sein soll
# iptables -A output -i $EXTERN -p icmp -j ACCEPT # Falls anpingen erlaubt sein soll
# iptables -A output -i $EXTERN -p udp\
# -s $PROXY $UNPRIVPORTS \
# -d $10.0.1.100 53 -j ACCEPT
# iptables -A input -i $EXTERN -p udp\
# -s $ANYWHERE 53 \
# -d $PROXY $UNPRIVPORTS -j ACCEPT
iptables -A FORWARD -s $DC01 -p udp –dport 53 -j ACCEPT # Prim.-DNS Server darf ins Netz
iptables -A FORWARD -d $DC01 -p udp –sport 53 -j ACCEPT # Prim.-DNS Server darf ins Netz
iptables -A FORWARD -s $DC02 -p udp –dport 53 -j ACCEPT # Sek.-DNS Server darf ins Netz
iptables -A FORWARD -d $DC02 -p udp –sport 53 -j ACCEPT # Sek.-DNS Server darf ins Netz
iptables -A INPUT -s $INTRANET -j ACCEPT # Workstation kommt auf Router aber nicht ins Netz
iptables -A OUTPUT -d $INTRANET -j ACCEPT # Workstation kommt auf Router aber nicht ins Netz
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j SNAT –to-source 192.168.13.199 # S-NAT
iptables -A FORWARD -s $PROXY -p tcp –dport 80 -j ACCEPT # Proxy Server darf ins Netz – http
iptables -A FORWARD -d $PROXY -p tcp –sport 80 -j ACCEPT # Proxy Server darf ins Netz – http
iptables -A FORWARD -s $PROXY -p tcp –dport 443 -j ACCEPT # Proxy Server darf ins Netz – https
iptables -A FORWARD -d $PROXY -p tcp –sport 443 -j ACCEPT # Proxy Server darf ins Netz – https
iptables -t nat -A PREROUTING -p tcp –dport 80 -i eth0 -j DNAT –to-destination $RDS01 # D-NAT
iptables -A FORWARD -s $RDS01 -p tcp –sport 80 -j ACCEPT # RDS kann von außen erreicht werden
iptables -A FORWARD -d $RDS01 -p tcp –dport 80 -j ACCEPT # RDS kann von außen erreicht werden
Soll dieses Skript beim Systemstart automatisch ausgeführt werden kann man z. B. einen symbolischen Link wie folgt anlegen:
ln -s /usr/local/bin/fwstart /etc/init.d/rc5.d/S99fwstart
Sicherheitskonzept
Proxyserver ohne NAT bzw. Masquerade – Clients kommen nur über Proxy ins WWW und nicht direkt
Proxyeinstellungen über Gruppenrichtlinien verteilen, evtl. IE-Einstellungen sperrenInterne Router mit Firewall-Regeln ausstatten
Passwortdefinitionen – Länge und Gültigkeitsdauer festlegen
Firewallregeln – DNS nur auf Port 53 per UDP erlauben
Firewallregeln – Clients nur Proxy auf Port 80, 443 per TCP erlauben
Firewallregeln – Proxy nur auf Port 80, 443 per TCP erlauben
Firewallregeln – VPN Zugriff weiterleiten, erlauben
BranchCache
http://escde.net/was-ist-branchcache-und-wie-wird-es-konfiguriert/
Firewall-Regeln für BranchCache
VPN