[WLANtalk] Optimale Firewall-Konfiguration für Gateways?

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
Sa Aug 16 14:13:07 CEST 2014 

Hallo Marc-Andre,

vielen Dank für den Link! Das hat mir schon mal weitergeholfen. Nach etwas Recherche habe ich gelernt, dass die Werte in den Klammern keine Portfreigaben sind, sondern es sich um Paket- und Byte-Zähler handelt. Diese werden von iptables-save mit abgespeichert, sind aber vermutlich irrelevant. Entsprechend sind die Werte in der Münster-Anleitung auch auf [0:0] gesetzt. D.h., es gibt überhaupt keine Einschränkungen bei den Ports - weder in der Konfiguration aus Münster noch in der Konfiguration aus Hamburg. Jetzt frage ich mich natürlich, weshalb ich meinen Mailanbieter aus dem Freifunknetz heraus nicht über IMAP erreichen kann. Vielleicht liegt es wie in eurem Fall am VPN-Anbieter? Werde ich bei Gelegenheit testen.

LG,

Bernd

-----Ursprüngliche Nachricht-----
Von: WLANtalk [mailto:wlantalk-bounces at freifunk.net] Im Auftrag von Marc-Andre Alpers
Gesendet: Samstag, 16. August 2014 11:06
An: wlantalk at freifunk.net
Betreff: Re: [WLANtalk] Optimale Firewall-Konfiguration für Gateways?

Moin!

Ich kenne mich zwar mit iptables auch nicht so aus. Ich habe mich an der Anleitung von Freifunk Münster gehalten, die haben ihre Rules anders gestaltet. Deren Setup findest du hier:

https://freifunk-muenster.de/wiki/doku.php?id=technik:gateway

Ob es überhaupt sinnvoll ist was einzuschränken, weiß ich nicht. Die einzige Einschränkung die es gibt kommt durch unseren VPN Anbieter. Dieser blockt Port
25 um Spam zu verhindern. Nutzer müssen für SMTP auf Port 465 mit SSL
(T-Online) oder 587 mit TLS ausweichen.

Am 16.08.2014 um 10:07 schrieb Bernd Kalbfuss-Zimmermann:
> Hallo Freifunker,
> 
>  
> 
> seit längerem quält mich ein Thema, von dem ich leider allzu wenig verstehe:
> Die Firewall-Konfiguration auf unseren Gateways. Wir nutzen hier im 
> Dreiländereck (CH-DE-FR) Gluon. Vor kurzem habe ich das erste Gateway 
> für unsere junge Freifunk-Gemeinde eingerichtet. Die 
> Firewall-Konfiguration habe ich dabei von den Hamburgern 
> <http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> übernommen:
> 
>  
> 
> # Generated by iptables-save v1.4.14 on Sun Mar 24 14:14:50 2013
> 
> *filter
> 
> :INPUT ACCEPT [273:40363]
> 
> :FORWARD ACCEPT [0:0]
> 
> :OUTPUT ACCEPT [194:28568]
> 
> COMMIT
> 
> # Completed on Mon Mar 25 19:41:40 2013
> 
> # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013
> 
> *mangle
> 
> :PREROUTING ACCEPT [286:41734]
> 
> :INPUT ACCEPT [273:40363]
> 
> :FORWARD ACCEPT [0:0]
> 
> :OUTPUT ACCEPT [194:28568]
> 
> :POSTROUTING ACCEPT [194:28568]
> 
> -A PREROUTING -i br-ffhh -j MARK --set-xmark 0x1/0xffffffff
> 
> COMMIT
> 
> # Completed on Mon Mar 25 19:41:40 2013
> 
> # Generated by iptables-save v1.4.14 on Mon Mar 25 19:41:40 2013
> 
> *nat
> 
> :PREROUTING ACCEPT [15:1459]
> 
> :INPUT ACCEPT [2:88]
> 
> :OUTPUT ACCEPT [1:74]
> 
> :POSTROUTING ACCEPT [1:74]
> 
> -A POSTROUTING -o mullvad -j MASQUERADE
> 
> COMMIT
> 
>  
> 
> Wenn ich das richtig verstehe, dann ist für den ausgehenden 
> Internetverkehr primär die Sektion *nat verantwortlich, welche auch 
> die striktesten Portbegrenzungen setzt. Woher die Bereiche kommen ist mir jedoch nicht klar.
> Auch die Hamburger schweigen sich hierzu leider aus. So habe ich z.B. 
> schon festgestellt, dass der IMAP-Port 143 außerhalb des freigegebenen 
> Bereichs liegt :-(
> 
>  
> 
> Bevor ich jetzt anfange, willkürlich an den Freigaben herumzuschrauben 
> möchte ich fragen, ob sich schon mal jemand intensiv mit diesem Thema 
> auseinandergesetzt hat. Was sollte die Firewall alles unterbinden? 
> Welche Dienste auf welchen Ports sollten hingegen verfügbar gemacht 
> werden? Für Tipps und Anregungen wäre ich dankbar!
> 
>  
> 
> LG,
> 
>  
> 
> Bernd
> 
> 
> 
> _______________________________________________
> WLANtalk mailing list
> WLANtalk at freifunk.net
> Abonnement abbestellen? -> 
> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
> 
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und 
> Abmeldung unter http://freifunk.net/mailinglisten
> 

--
Mit freundlichen Grüßen
Marc-Andre Alpers

Verschlüsselte Mails bevorzugt. Mit S/MIME oder PGP KeyID: 0x5EE93193 Wehrt euch gegen Überwachung und Vorratsdatenspeicherung!

Mehr Informationen über die Mailingliste WLANtalk