Firewall-Konfiguration

Masquerading Firewall mit Portforwarding - ipchains

SuSE 7.0, Kernel 2.2.16 und ipchains

Was die Firewall können musste:

• Packet Filtering

• Port Forwarding (für Transparent Proxy)

• Masquerading (hiding NAT)

• ... und sicher sollte sie auch noch sein ;-)

Das ganze wurde von einem rc-Script gesteuert, das beim Booten (oder bei manuellem Aufruf) die entsprechenden Kommandos absetzte.
Zusätzlich zu den ipchains-Kommandos werden noch einige Parameter im /proc-Dateisystem gesetzt, insbesondere:
- /proc/sys/net/ipv4/ip_forward: IP-Forwarding ein/aus
- /proc/sys/net/ipv4/tcp_syncookies: SYN-Attacken ignorieren
- /proc/sys/net/ipv4/icmp_echo_ignore_all: ICMP echo (ping) ignorieren - die Firewall
   konnte also nicht gepingt werden
- /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts: ICMP echo broadcasts ignorieren (eine beliebte Attacke)
- /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses: ICMP Fehlermeldungen von
   Maschinen ignorieren, von denen wir keine erwarten, bzw. die keinen Sinn haben

Natürlich waren auf der Firewall alle Services abgeschaltet, die nicht benötigt wurden (inetd, httpd etc.)

Verwendetes File

• /etc/rc.d/firewall (verwendet ipchains)

• /etc/rc.d/firewall (verwendet iptables)