[WLANtalk] Optimale Firewall-Konfiguration für Gateways?

Sa Aug 16 11:06:10 CEST 2014

Moin!

Ich kenne mich zwar mit iptables auch nicht so aus. Ich habe mich an der
Anleitung von Freifunk Münster gehalten, die haben ihre Rules anders
gestaltet. Deren Setup findest du hier:

https://freifunk-muenster.de/wiki/doku.php?id=technik:gateway

Ob es überhaupt sinnvoll ist was einzuschränken, weiß ich nicht. Die einzige
Einschränkung die es gibt kommt durch unseren VPN Anbieter. Dieser blockt Port
25 um Spam zu verhindern. Nutzer müssen für SMTP auf Port 465 mit SSL
(T-Online) oder 587 mit TLS ausweichen.

Am 16.08.2014 um 10:07 schrieb Bernd Kalbfuss-Zimmermann:
> Hallo Freifunker,
> 
>  
> 
> seit längerem quält mich ein Thema, von dem ich leider allzu wenig verstehe:
> Die Firewall-Konfiguration auf unseren Gateways. Wir nutzen hier im
> Dreiländereck (CH-DE-FR) Gluon. Vor kurzem habe ich das erste Gateway für
> unsere junge Freifunk-Gemeinde eingerichtet. Die Firewall-Konfiguration habe
> ich dabei von den Hamburgern
> <http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> übernommen:
> 
>  
> 
> # Generated by iptables-save v1.4.14 on Sun Mar 24 14:14:50 2013
> 
> *filter
> 
> :INPUT ACCEPT [273:40363]
> 
> :FORWARD ACCEPT [0:0]
> 
> :OUTPUT ACCEPT [194:28568]
> 
> COMMIT
> 
> # Completed on Mon Mar 25 19:41:40 2013
> 
> # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013
> 
> *mangle
> 
> :PREROUTING ACCEPT [286:41734]
> 
> :INPUT ACCEPT [273:40363]
> 
> :FORWARD ACCEPT [0:0]
> 
> :OUTPUT ACCEPT [194:28568]
> 
> :POSTROUTING ACCEPT [194:28568]
> 
> -A PREROUTING -i br-ffhh -j MARK --set-xmark 0x1/0xffffffff
> 
> COMMIT
> 
> # Completed on Mon Mar 25 19:41:40 2013
> 
> # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013
> 
> *nat
> 
> :PREROUTING ACCEPT [15:1459]
> 
> :INPUT ACCEPT [2:88]
> 
> :OUTPUT ACCEPT [1:74]
> 
> :POSTROUTING ACCEPT [1:74]
> 
> -A POSTROUTING -o mullvad -j MASQUERADE
> 
> COMMIT
> 
>  
> 
> Wenn ich das richtig verstehe, dann ist für den ausgehenden Internetverkehr
> primär die Sektion *nat verantwortlich, welche auch die striktesten
> Portbegrenzungen setzt. Woher die Bereiche kommen ist mir jedoch nicht klar.
> Auch die Hamburger schweigen sich hierzu leider aus. So habe ich z.B. schon
> festgestellt, dass der IMAP-Port 143 außerhalb des freigegebenen Bereichs
> liegt :-(
> 
>  
> 
> Bevor ich jetzt anfange, willkürlich an den Freigaben herumzuschrauben möchte
> ich fragen, ob sich schon mal jemand intensiv mit diesem Thema
> auseinandergesetzt hat. Was sollte die Firewall alles unterbinden? Welche
> Dienste auf welchen Ports sollten hingegen verfügbar gemacht werden? Für Tipps
> und Anregungen wäre ich dankbar!
> 
>  
> 
> LG,
> 
>  
> 
> Bernd
> 
> 
> 
> _______________________________________________
> WLANtalk mailing list
> WLANtalk at freifunk.net
> Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
> 
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
> 

-- 
Mit freundlichen Grüßen
Marc-Andre Alpers

Verschlüsselte Mails bevorzugt. Mit S/MIME oder PGP KeyID: 0x5EE93193
Wehrt euch gegen Überwachung und Vorratsdatenspeicherung!

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20140816/abb15bb5/attachment.pgp>