[WLANtalk] Optimale Firewall-Konfiguration für Gateways?

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
Sa Aug 16 10:07:13 CEST 2014 

Hallo Freifunker,

 

seit längerem quält mich ein Thema, von dem ich leider allzu wenig verstehe:
Die Firewall-Konfiguration auf unseren Gateways. Wir nutzen hier im
Dreiländereck (CH-DE-FR) Gluon. Vor kurzem habe ich das erste Gateway für
unsere junge Freifunk-Gemeinde eingerichtet. Die Firewall-Konfiguration habe
ich dabei von den Hamburgern
<http://wiki.freifunk.net/Freifunk_Hamburg/Gateway>  übernommen:

 

# Generated by iptables-save v1.4.14 on Sun Mar 24 14:14:50 2013

*filter

:INPUT ACCEPT [273:40363]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [194:28568]

COMMIT

# Completed on Mon Mar 25 19:41:40 2013

# Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013

*mangle

:PREROUTING ACCEPT [286:41734]

:INPUT ACCEPT [273:40363]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [194:28568]

:POSTROUTING ACCEPT [194:28568]

-A PREROUTING -i br-ffhh -j MARK --set-xmark 0x1/0xffffffff

COMMIT

# Completed on Mon Mar 25 19:41:40 2013

# Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013

*nat

:PREROUTING ACCEPT [15:1459]

:INPUT ACCEPT [2:88]

:OUTPUT ACCEPT [1:74]

:POSTROUTING ACCEPT [1:74]

-A POSTROUTING -o mullvad -j MASQUERADE

COMMIT

 

Wenn ich das richtig verstehe, dann ist für den ausgehenden Internetverkehr
primär die Sektion *nat verantwortlich, welche auch die striktesten
Portbegrenzungen setzt. Woher die Bereiche kommen ist mir jedoch nicht klar.
Auch die Hamburger schweigen sich hierzu leider aus. So habe ich z.B. schon
festgestellt, dass der IMAP-Port 143 außerhalb des freigegebenen Bereichs
liegt :-( 

 

Bevor ich jetzt anfange, willkürlich an den Freigaben herumzuschrauben
möchte ich fragen, ob sich schon mal jemand intensiv mit diesem Thema
auseinandergesetzt hat. Was sollte die Firewall alles unterbinden? Welche
Dienste auf welchen Ports sollten hingegen verfügbar gemacht werden? Für
Tipps und Anregungen wäre ich dankbar!

 

LG,

 

Bernd 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20140816/96699b98/attachment.html>

Mehr Informationen über die Mailingliste WLANtalk